Traqueurs tiers - Docs MetricSpot

Q: Les polices sont-elles vraiment des traqueurs ?

Oui, quand elles sont servies par un CDN tiers. fonts.googleapis.com enregistre l'IP demandeuse. Un tribunal régional de Munich a sanctionné un propriétaire de site de 100 € en 2022 spécifiquement pour avoir intégré Google Fonts sans consentement (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Auto-hébergez vos polices et le problème disparaît.

Ce que vérifie ce contrôle

Enregistre chaque requête réseau effectuée pendant le rendu de la page, les regroupe par domaine enregistrable, et rapporte le nombre d’hôtes tiers uniques qui livrent du JavaScript, des pixels, des beacons ou des iframes de tracking. Les domaines first-party (vous et vos sous-domaines) sont exclus. Les CDN servant vos propres assets (cdn.votredomaine.com) sont exclus. Les polices et analytics qui correspondent à des empreintes connues de traqueurs sont inclus.

Coupables courants qui apparaissent dans la liste :

Tag managers : googletagmanager.com
Analytics : google-analytics.com, analytics.google.com, mixpanel.com, segment.io, amplitude.com
Ad tech : doubleclick.net, googlesyndication.com, facebook.net, connect.facebook.net, bat.bing.com, ads.linkedin.com, t.co, analytics.tiktok.com
Replay de session / heatmaps : hotjar.com, static.hotjar.com, fullstory.com, clarity.ms
Widgets de support : intercom.io, widget.intercom.io, drift.com, js.driftt.com, zendesk.com
Polices et SDK : fonts.googleapis.com, fonts.gstatic.com, js.stripe.com, cdn.shopify.com (quand ce n’est pas votre propre boutique)

Trois ou moins est une base saine. Au-dessus de sept, vous êtes un site marketing typique — et vous avez du vrai travail GDPR.

Pourquoi c’est important

Chaque domaine tiers sur votre page est trois problèmes en un.

Un saut de confidentialité que vous devez déclarer. Sous l’article 13 du GDPR et la directive ePrivacy, chaque destinataire tiers non essentiel de données personnelles doit être nommé dans votre politique de confidentialité et accepté avant que son script ne s’exécute. La CNIL a sanctionné des sites spécifiquement pour sous-déclaration de la liste des destinataires.
Une taxe de performance que vous ne pouvez pas pleinement contrôler. Le rapport third-party-web de HTTP Archive montre systématiquement que l’ad-tech, les tag managers et les widgets de chat sont les tiers les plus lents du web — poussant souvent le Largest Contentful Paint au-delà de 4 secondes et l’Interaction to Next Paint dans la bande d’échec. Chaque script que vous n’expédiez pas est une taxe que vous ne payez pas.
Une surface de consentement qui se casse facilement. Si ne serait-ce qu’un script de votre tag manager s’exécute avant le consentement — parce qu’il est codé en dur hors du gate de consentement, ou parce que le listener de consentement se charge tard — vous êtes en infraction, peu importe la qualité de votre bannière de consentement cookies.

Six traqueurs est environ la médiane pour un site de contenu. Douze à vingt est normal pour un site marketing e-commerce ou SaaS. Quarante et plus apparaît sur les sites d’actualités à pub programmatique — et c’est aussi là où atterrissent la plupart des amendes GDPR.

Comment corriger

Inventoriez ce que vous avez. Ouvrez la page dans Chrome DevTools → onglet Network → filtrez par domaine. Regroupez les requêtes tierces par domaine enregistrable et demandez-vous, pour chacune, « gagne-t-elle encore sa place ? ».

# Audit rapide en ligne de commande avec curl + un parseur
curl -s https://votredomaine.com/ \
  | grep -oE 'https?://[^"'"'"']+' \
  | awk -F/ '{print $3}' \
  | sort -u

Lancez un audit Lighthouse (DevTools → Lighthouse → Generate report) — le diagnostic « Reduce the impact of third-party code » liste chaque domaine avec son temps de blocage.

Coupez ce dont vous n’avez pas besoin. Les gains les plus courants :

Retirez Google Tag Manager et inlinez GA4 directement. GTM est une habitude, pas une exigence. Si vous ne gérez que GA + un ou deux pixels, inlinez gtag.js et supprimez le conteneur GTM.
Auto-hébergez les polices. fonts.googleapis.com est un traqueur sous le GDPR (un tribunal allemand l’a jugé ainsi en 2022). Téléchargez les fichiers WOFF2, servez-les depuis votre propre origine, et retirez l’URL Google Fonts.
Remplacez le chat tiers par un e-mail. Les widgets Intercom, Drift et Zendesk pèsent chacun 100-300 Ko et lancent des requêtes heartbeat continues. Un lien mailto:, non.
Retirez les pixels morts. Les équipes marketing ajoutent des pixels pour des campagnes et oublient de les retirer. Auditez l’âge des pixels et retirez tout ce qui est plus ancien que votre cycle de campagne typique.

Gatez ce que vous devez garder derrière le consentement. Chaque traqueur non essentiel restant doit se charger uniquement après que l’utilisateur a accordé son consentement dans votre bannière. Utilisez Google Consent Mode v2 + IAB TCF v2.2 ou l’équivalent pour votre stack. Voir Bannière de consentement cookies.

Chargez paresseusement les widgets de support. N’expédiez pas Intercom sur chaque page. Chargez-le uniquement quand l’utilisateur clique sur un bouton « Chatter avec nous » :

<button id="open-chat">Chatter avec nous</button>
<script>
  document.getElementById('open-chat').addEventListener('click', () => {
    const s = document.createElement('script');
    s.src = 'https://widget.intercom.io/widget/YOUR_APP_ID';
    document.head.appendChild(s);
  });
</script>

Déplacez l’analytics côté serveur. Des outils comme Plausible, Fathom ou un Matomo auto-hébergé éliminent entièrement le traqueur côté client. Le GTM côté serveur déplace la stack Google sur votre propre domaine (toujours GA, toujours traçable, mais un seul domaine tiers dans le panneau réseau).

Auditez les dépendances, pas seulement votre code. Un plugin WordPress ou une app Shopify peut discrètement ajouter trois ou quatre traqueurs à votre insu. Après chaque installation de plugin, refaites l’audit.

Questions fréquentes

Combien c’est trop ?

Ça dépend du type de site. Un site marketing SaaS peut généralement vivre avec 4-6 : GA4 + GTM + un pixel pub + Stripe + votre CDN. Un site de contenu monétisé par pub programmatique en aura 20+ et il n’y a pas moyen de contourner — mais ces sites ont aussi besoin que la plomberie de la bannière de consentement cookies soit irréprochable. Le nombre lui-même n’est pas le problème ; ce sont les obligations de consentement et de divulgation qui l’accompagnent.

Les polices sont-elles vraiment des traqueurs ?

Oui, quand elles sont servies par un CDN tiers. fonts.googleapis.com enregistre l’IP demandeuse. Un tribunal régional de Munich a sanctionné un propriétaire de site de 100 € en 2022 spécifiquement pour avoir intégré Google Fonts sans consentement (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Auto-hébergez vos polices et le problème disparaît.

Retirer des traqueurs nuit-il à mon analytics ?

Retirer des traqueurs en doublon, non — la plupart des sites ont deux outils analytics qui sont en désaccord de 30 % à cause de la perte de consentement de toute façon. Retirer un traqueur que vous utilisez réellement va évidemment stopper le flux de données ; dans ce cas, remplacez-le par un équivalent respectueux de la vie privée (Plausible, Fathom, Matomo auto-hébergé) plutôt que de simplement le supprimer.