Google Tag Manager est-il légal en France ?

Avant de commencer, voici deux formations gratuites en rapport avec la question traitée dans cet article qui pourrait vous intéresser :

Formation sur Google Tag Manager (2023)

Formation sur Google Tag Manager Server-Side (2023)

Allez, c’est parti ! 🤓

Beaucoup d’entre vous se posent la question de la légalité de Google Tag Manager en France étant donné que Google Analytics ne l’est pas (février 2023) dans sa configuration classique.

Avant de répondre à cette question, rappelons ce qu’est Google Tag Manager.

Qu’est-ce que Google Tag Manager ?

Google Tag Manager (GTM) est un Tag Management System (TMS). Il vous permet de déployer et gérer de façon centralisée le déclenchement de balises tierces sur votre site web sans modifier le code de ce dernier, et donc, sans faire appel à un développeur.

Voici des exemples de balises couramment utilisées chez nos clients :

• Balises analytics (Piano Analytics, Google Analytics, Matomo, Piwik Pro)
• Balises publicitaires (Meta Ads, TikTok Ads, Google Ads, LinkedIn Ads, Bing Ads, Awin, etc)
• Balises CRM (Sendinblue, Hubspot, ActiveCampaign, etc)
• Balises CMP (Axeptio, Didomi, etc)
• Balise chat (Crisp, Intercom, etc)

Google Tag Manager peut se décomposer en 2 parties :

• L’interface utilisateur vous permettant de gérer les différentes variables ainsi que les balises et leurs déclencheurs.
• Le conteneur JavaScript de Google Tag Manager générant et déclenchant les balises qui envoient les données aux plateformes tierces directement depuis le navigateur du visiteur de votre site web lorsque des conditions sont réunies. Les données qui sont envoyées par l’intermédiaire des balises tierces ne passent pas par les serveurs de Google Tag Manager.

Pour faire simple, dites-vous qu’un Tag Management System sert d’intermédiaire entre votre site web et vos plateformes tierces. Il génère des balises et les déclenche (lorsque des conditions sont remplies) afin d’envoyer des données vers les plateformes tierces, par l’intermédiaire de balises depuis le navigateur du visiteur de votre site web.

Google Tag Manager est-il légal en France ?

Dans cette documentation officielle, Google indique qu’il ne collecte, ne conserve et ne partage aucune information (IP, User-Agent, etc) sur les visiteurs par l’intermédiaire du payload de la requête HTTP qui télécharge la librairie gtm.js (le conteneur JavaScript de Google Tag Manager) au chargement d’une page d’un site web.

En revanche, le téléchargement de la librairie gtm.js sur le navigateur d’un visiteur de votre site web entraîne un appel aux serveurs de Google Tag Manager. Lors de cet appel, des données sont nativement accessibles aux serveurs qui reçoivent la requête, notamment l’adresse IP, mais également d’autres informations standards et essentielles.

Ces dernières données accessibles par les serveurs de Google Tag Manager peuvent être enregistrées dans les “journaux de requêtes HTTP standards”. Dans cette même documentation, Google indique que ces journaux sont tous supprimés dans les 14 jours suivant leur réception.

Au même titre que toutes les solutions hébergées hors Union Européenne (Facebook, Salesforce, Hubspot, Pinterest, TikTok, etc), Google peut donc voir ces données mais indique ne pas les utiliser.

Ainsi, si l’on s’en tient strictement aux textes légaux, l’utilisation de Google Tag Manager dans une implémentation simple et directe peut être litigieuse, bien que très rarement vérifiée ou auditée.

De notre côté chez Boryl, depuis peu, nous proxifions systématiquement (si le client est ok) le téléchargement de la librairie gtm.js dans un contexte “first party” afin de retirer tout doute possible.

De cette manière, il n’y a pas de connexion directe entre le navigateur du visiteur et les serveurs de Google Tag Manager mais uniquement entre le serveur proxy et les serveurs de Google Tag Manager. Ce qui rend réellement légale l’utilisation de Google Tag Manager.