Bullshit Basics: Le Google Tag Manager n'est pas une domaine cookie-free: la preuve

Dans de nombreuses déclarations de protection des données, on prétend que le gestionnaire de balises Google est une domaine sans cookies. D'autres suggèrent qu'il n'est pas nécessaire d'obtenir l'accord pour utiliser le Tag Manager. Cela est invraisemblable. Même Google fournit des arguments contre cette affirmation.

Le Google Tag Manager est un outil permettant de gérer le chargement d'autres outils. On pourrait également parler de rechargement d'autres outils au lieu de chargement. L'abréviation GTM est souvent utilisée pour désigner le Google Tag Manager.

Le gestionnaire de tag de Google est intégré via un script et une variante pour les systèmes avec le JavaScript désactivé. On trouve souvent un code comme celui-ci:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Le partie script est la logique pour charger le script gtm.js du Gestionnaire de tags. Là-dessous, dans un tag IFRAME, une logique est ajoutée pour lancer le Gestionnaire de tags, lorsque JavaScript est désactivé dans le navigateur de l'utilisateur.

Avant que les malentendus soient dissipés, voici le premier malentendu. Beaucoup pensent que Google ne reçoit pas d'informations personnelles via le GTM, ce qui est faux. En effet: Pour Google, votre et mon adresse IP sont potentiellement toujours des informations personnelles. Le GTM reçoit toujours votre et mon adresse IP lorsqu'on visite un site Web qui intègre le GTM. Malheureusement, les explications de Google sont formulées d'une manière telle que Google admet quasi-officiellement qu'il utilise les données qu'il a collectées à des fins propres. Par conséquent, le GTM serait déjà obligatoire en raison de cette autorisation.

Les malentendus fréquents sur le gestionnaire de tag

Comme on peut le voir, le Tag Manager est chargé depuis la domaine googletagmanager.com. Un domaine peut théoriquement être cookieless. Un outil en tant que domaine ne doit pas être appelé ainsi, c'est en soi faux.

Appeler une domaine Cookieless est une affirmation très hardie. Cette affirmation ne peut être vraie que si on l'interprète de manière bienveillante. Une domaine en soi n'est pas un gestionnaire de cookies. Au contraire, toutes les pages web présentes sur ce domaine et les fichiers externes chargés par des sites tiers peuvent être des gestionnaires de cookies. Qui se permet d'affirmer connaître toutes ces pages et fichiers doit avoir une excellente connaissance.

Une domaine ne peut gérer des cookies à elle seule. C'est aux fichiers se trouvant sur ce domaine qu'il revient de gérer les cookies. Si on exclut les configurations du serveur Web, seuls les fichiers contenant une logique de programmation peuvent gérer les cookies. On entend par là la création, la lecture, la modification et la suppression des cookies.

Le Google Tag Manager n'est pas une domaine cookie-free. Pour le dire correctement:

Des cookies sont chargés de la domaine googletagmanager.com !

Analyse du Google Tag Manager sur des sites web qui l'utilisent (Source: dr-dsgvo.de) ainsi que déclaration de Google (juillet 2021).

Le gestionnaire de balises Google installe directement des cookies

Oui, vous avez bien lu. Ne croyez pas ce que les autres disent ! Ce paragraphe montre pourquoi des cookies sont chargés lorsque le Google Tag Manager est intégré à une page web.

Les cookies existent chacun dans une domaine (selon la configuration également dans des sous-domaines). Pour que les cookies du Google Tag Manager soient transmis lors de l'appel, un cookie doit donc d'abord exister dans le domaine googletagmanager.com ou être généré par le Google Tag Manager.

Il suffit donc qu'une seule page Web existe dans le monde, dans la zone ou une sous-zone de domaine concerné, et que l'on y dépose un cookie. On parle ici uniquement de cookies persistants, c'est-à-dire durs. Les cookies de session sont plutôt sans importance (mais peuvent néanmoins poser des problèmes dans certaines conditions).

Voici le preuve que lors de l'intégration du gestionnaire de balises Google, les cookies sont chargés:

Le vidéo montre comment le "Nu" Tag Manager est chargé, c'est-à-dire sans que d'autres outils soient rechargés par le Tag Manager (qui pourraient être responsables des traitements de données différés). Cependant, lors du chargement du Tag Manager, un cookie est transféré. Puisque le cookie est envoyé avec la charge du GTM, il s'agit d'une considération sans importance si le GTM rechargent d'autres outils ou non, car le cookie était déjà présent à l'appel du GTM!

Il est bien entendu que tout ce qui a été montré dans le vidéo s'est déroulé sans consentement. Il n'y a même pas de demande de consentement sur le site web présenté. Le site web présenté a été sélectionné au hasard. Il existe de nombreuses autres pages Web qui utilisent Tag Manager et où on peut observer le même comportement.

Pour reproduire le comportement montré dans le vidéo, il faut faire ceci dans Mozilla Firefox:

1. Appeler un site Web qui se trouve sur le domaine googletagmanager.com ou une sous-domaine de celui-ci et générer un cookie
2. Pour suivre le trafic réseau dans votre navigateur, appuyez sur la touche F12 pour ouvrir la console de développement. Cliquez ensuite sur l'onglet Netzwerkanalyse.
3. Appeler un site Web qui utilise le Google Tag Manager.
4. Cliquez sur une requête réseau qui charge le Google Tag Manager, donc recherchez des entrées avec googletagmanager.com.
5. Cliquez sur le dossier Cookies dans la console à droite. Les cookies qui s'y trouvent ont été transmis lors du chargement du Gestionnaire de tags.

Le gestionnaire de balises Google utilise des cookies directs

Je me réfère à une déclaration officielle de Google datant de fin juillet 2021. Google dit lui-même que des cookies sont déposés via le Preview and Debug Mode du Tag Manager.

Un administrateur utilise maintenant le mode de prévisualisation, selon Google trois cookies Tag Manager arrivent sur son appareil, associés à googletagmanager.com. Lorsque l'administrateur visite plus tard n'importe quelle page Web qui intègre le Tag Manager, les cookies du mode de prévisualisation sont transmis à Google.

Cela ne vaut pas pour tous les visiteurs d'un site web, mais uniquement pour les administrateurs du Tag Manager qui utilisent le mode de prévisualisation et de débogage. Cependant, il s'ajoute que avec les cookies mentionnés, un rétro-établissement concret et exact sur la personne est possible. Puisque les cookies mentionnés contiennent des informations qui permettent de faire remonter à un compte Google, le compte Google permet des rétro-établissements précis sur une seule personne.

Les tags du Google Tag Manager peuvent poser des cookies

Si on se réfère à la lettre, et que les avocats aiment critiquer les informations sur la protection des données, alors ceci est également pertinent pour la question de savoir si le Google Tag Manager est une domaine sans cookies.

Avec un Custom Html Tag, c'est-à-dire un tag créé par soi-même, le Tag Manager peut être mis dans la situation de pouvoir déposer des cookies. Voici un exemple:

Dans la source donnée, on trouvera d'autres descriptions à ce sujet. Le Tag Manager peut donc lui-même poser des cookies.

Il convient de noter que le code présenté crée un cookie sur le domaine de la page web visitée actuellement. Cependant, cela suffit à montrer que le Tag Manager n'est pas une domaine sans cookies, car il s'agit d'un service et ce dernier n'est pas sans cookies, comme on l'a vu plusieurs fois ici.

Erreurs fréquentes du Gestionnaire de Tag

Sur de nombreux sites Web, le Google Tag Manager est utilisé, mais dans la Déclaration de confidentialité, pas un mot n'est mentionné. On le trouve souvent dans une fenêtre d'acceptation, bien qu'il soit censé ne pas utiliser de cookies. Cette mention en soi ne serait pas mauvaise, mais plutôt appréciée. Cependant, les plateformes de gestion du consentement s'intéressent aux cookies, ce qui est en soi faux. ([1])

Lorsqu'un outil est utilisé, il doit être déclaré conformément à l'article 13 du RGPD. Cela doit au moins se faire dans la politique de confidentialité. Si une demande de cookies a lieu, qui devrait en réalité s'appeler demande d'autorisation, la déclaration sur l'outil doit également y figurer, au moins sous forme suffisante. La déclaration globale peut alors se faire dans les indications de protection des données.

Un outil qui ne peut pas être expliqué est en soi incorrect, à moins qu'il s'agisse d'un service technique nécessaire pour lequel aucune autre réglementation n'est à prendre en compte (ce qui doit être vérifié dans chaque cas). Il est également incorrect que les fournisseurs d'un outil utilisent le terme «Google». Qu'est-ce que «Google» signifie ? Source est l'adresse complète de «Google» et quelle est la forme juridique de «Google» ?

Les sites Web demandent souvent une autorisation pour certains outils. Cependant, un chargement a déjà lieu avant que l'autorisation ne soit accordée, dans lequel le Google Tag Manager est parfois impliqué.

Puisque le Gestionnaire de Tag charge d'autres outils, beaucoup d'outils de consentement se mélangent. Encore un motif pour ne pas les utiliser ! Par exemple, si le Gestionnaire de Tag charge le service Google Analytics, des cookies sont déposés par Google Analytics via le canal de données ouvert par le Gestionnaire de Tag.

Voici un exemple d'une demande de consentement en pratique sur le site web d'un grand entreprise allemande:

Dans ce petit dessin, il existe plusieurs défauts évidents:

1. Les cookies _ga et _gat sont attribués au Gestionnaire de tag, bien qu'ils appartiennent à Google Analytics. Le règlement sur la protection des données contredit cette affirmation: „Le service Google Tag Manager lui-même (qui implémente les balises) est une domaine sans cookies et ne collecte aucune donnée personnelle.“ On voit ici au moins une fois une déclaration fausse.
2. L'éditeur s'appelle «Google Tag Manager». Chacun qui connaît les règles du télémedia acte sur les mentions d'éditeurs, concédera que là, il n'y a pas de mention d'éditeur conforme à la loi (même en dehors du TMA).
3. Le terme "Ablauf" a plutôt l'air d'un lavabo. Il n'est pas compréhensible par tous.
4. L'indication «Type: cookie HTTP» n'est pas compréhensible par tous.
5. La déclaration d'utilisation du cookie _gat est de la plus grande absurdité et généralement incompréhensible.

Si on poursuivait l'examen du popup de consentement, du site web et de la politique de confidentialité, on trouverait probablement au moins le double d'erreurs. C'est pourquoi je pense cela, comme on peut le lire dans mon enquête Cookiegeddon – l'échec de tous (?) les outils de consentement.

Manque d'intérêt légitime

Évidemment, je dis qu'il n'y a pas d'intérêt légitime à charger le Google Tag Manager sans consentement. Motifs:

1. Lorsque le GTM est chargé pour charger d'autres outils obligatoires par consentement, il faut nécessairement un consentement. Cela permet au GTM de être chargé après que le consommateur ait donné son consentement.
2. Charger seul GTM sans que cela charge d'autres services n'a pas de bénéfice fonctionnel.
3. Évidemment, n'importe quel outil peut être chargé sans le GTM. Pour cela, il suffit d'une logique JavaScript qui ne doit pas être plus complexe que la logique inscrite dans le GTM.

Celui qui pense qu'il faudrait montrer que c'est moins de travail de gérer un chargement avec le GTM pour d'autres services plutôt que sans, a peut-être raison. Lorsqu'on cherche comme conducteur un parking correct, il est en effet plus compliqué de se tromper que de faire correctement. Cependant, personne ne doit se tromper ad hoc, même si c'est moins compliqué.

Je prétends, et je peux le prouver par programmation si nécessaire, que l'utilisation du Google Tag Manager est généralement plus fastidieuse que la simple programmation de la conduite souhaitée à travers des instructions JavaScript directes. Même (ou surtout) l'exploitation d'un outil de consentement en conjonction avec le Google Tag Manager est possible sans Tag Manager. On pense ici seulement à la directive data-src.

Qui compte réellement la tâche supplémentaire pour inclure, qui coûte pour créer une politique de confidentialité correcte pour Tag Manager et pour déterminer qui est le fournisseur du service et ce que fait le fournisseur avec les données reçues ? En outre, il faut ajouter l'effort nécessaire pour répondre aux demandes des personnes concernées, comme moi, car elles croient que beaucoup ne prennent pas au sérieux la protection de la vie privée. Une politique de confidentialité qui soit à peu près inattaquable pour Tag Manager est rarement trouvée. Le fait de prendre en compte les nombreuses conditions juridiques du GTM conduit également à une plus grande charge de travail, qui semble difficile à gérer. Un futur article de moi traitera de ce point.

Résumé

Ce billet a été écrit par moi pour contredire plusieurs fois l'affirmation selon laquelle le GTM est une domaine sans cookies. Comme démontré, des cookies peuvent être transmis lors du chargement du Tag Manager. Si ce processus se produit, alors le Tag Manager est soumis à un devoir d'information, avant qu'il ne puisse être chargé. Cela découle de §15 Abs. 3 TMG et Art. 5 Abs. de la directive ePrivacy. Une déduction plus précise se trouve sur mon site Web dans plusieurs autres articles.

Le droit à l'intérêt peut être exclu, car l'utilisation du Tag Manager sans recharger les outils est manifestement inutile et des outils qui ne sont pas soumis à une autorisation peuvent être chargés sans le Tag Manager. Le GTM nécessite en revanche un effort considérable de plus si on veut respecter les conditions juridiques de Google et d'autres règles obligatoires de protection des données. ([1])

Nous pouvons également déduire l'obligation d'un consentement du fait que les adresses IP sont transmises à "Google" comme des données personnelles. "Google" est un terme qui décrit un groupe mondial opérant, dont le siège principal semble être aux États-Unis. Les États-Unis constituent un pays tiers peu sûr (voir l'arrêt Privacy Shield). Les déclarations de la société Google sur Google Analytics suggèrent probablement que l'utilisation du Google Tag Manager entraîne toujours une collecte de données aux États-Unis.

Mise à jour: Lors de l'utilisation du Google Tag Manager, l'entreprise Google LLC est responsable du traitement des données. Cela ressort des "conditions d'utilisation des données personnelles pour les produits publicitaires Google" (voir https://privacy.google.com/businesses/processorterms/), qui s'appliquent au Google Tag Manager (voir les conditions d'utilisation du Google Tag Manager sous https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, qui doivent être acceptées lors de la création d'un compte GTM). Il existe donc un accès juridique aux États-Unis.

La règle d'acceptation pour le Google Tag Manager peut être déduite à partir de diverses raisons. Dans l'article associé, j'aborde également le transfert des données par Google LLC ainsi que le transfert des données aux États-Unis en raison des conditions d'utilisation de Google.

Un accord de protection des données (AVD) valable avec Google ne peut pas être considéré comme complet, selon mon estimation , car Google utilise des sous-traitants d'ordre de centaines provenant de dizaines de pays du monde entier, dont le niveau de protection des données est discutable (https://privacy.google.com/businesses/subprocessors/). L'adresse ci-dessus est liée aux conditions AVD précédentes. De plus, la déclaration de protection des données valable pour GTM indique que Google utilise les données collectées à des fins propres (techniquement non nécessaires), ce qui contredit un accord de protection des données. ([1])

Articles supplémentaires:

• Les bases du con: Les cookies ne sont pas des fichiers texte
• Basiques de conneries: Cookiegeddon – l'échec de tous les outils de consentement
• Les cookies: fondamentaux et pertinence de la RGPD
• Gérant de balises: Solution respectueuse de la vie privée au lieu du Gestionnaire de balises
• Server Side Tracking

Plus d'informations et une discussion sur le Google Tag Manager dans l'épisode du podcast privacy Deluxe: