Le Blog Monoid

Confidentialité, analytique et le web ouvert — rédigé pour les développeurs.

Flux RSS
6 min de lectureEngineering & Performance

Timing-Allow-Origin : ce que l'analytique voit dans la Resource Timing API

L'en-tête Timing-Allow-Origin contrôle le niveau de détail des données de timing cross-origin qu'une page peut lire. Voici ce que cela implique pour une mesure de performance respectueuse de la vie privée.

Lire la suite
7 min de lectureEngineering & Performance

Speculation Rules et préchargement : ce que l'analytique comprend de travers sur les pages préchargées

L'API Speculation Rules de Chrome peut rendre une page avant même qu'un utilisateur ne clique. Voici comment cela fausse une analytique naïve — et comment une mesure sans cookies, en périphérie, reste honnête.

Lire la suite
4 min de lectureEngineering & Performance

Votre script d'analytics désactive probablement le cache de navigation arrière/avant

Le cache de navigation arrière/avant rend les retours en arrière quasi instantanés, mais un seul listener unload le désactive pour toute la page. Les scripts de tracking sont les coupables habituels — et le CrUX mesure désormais les dégâts.

Lire la suite
4 min de lectureLaw & Regulation

Les transferts de données RGPD sont le seul risque de conformité que l'architecture peut éliminer

Le cadre de protection des données UE-États-Unis a survécu à son premier recours judiciaire, mais il fait désormais l'objet d'un pourvoi devant la CJUE. Une solution d'analytique qui ne transfère jamais de données européennes vers les États-Unis n'a rien à perdre dans un sens comme dans l'autre.

Lire la suite
5 min de lectureLaw & Regulation

La cible d'application de l'EDPB pour 2026 : votre politique de confidentialité

L'action coordonnée 2026 de l'EDPB audite la transparence au titre des articles 12 à 14 du RGPD. Le chemin le plus court : collecter si peu que la politique s'écrit toute seule.

Lire la suite
5 min de lectureEngineering & Performance

Votre script d'analytics est le trou dans votre Content-Security-Policy

Une CSP stricte bloque le XSS. Un tag d'analytics tiers le rouvre. Voici pourquoi les allowlists d'hôtes et l'absence de SRI sabotent votre politique.

Lire la suite
5 min de lectureEngineering & Performance

Confidentialité par défaut au niveau HTTP : les en-têtes qui réduisent votre surface de pistage

Deux en-têtes de réponse — Permissions-Policy et Referrer-Policy — déterminent ce que vos pages peuvent fuiter vers l'ad-tech et les tiers. Configurez-les une fois et la surface de surveillance se ferme par défaut.

Lire la suite
4 min de lectureEngineering & Performance

L'INP Pénalise l'Analytics Lourde : Pourquoi Votre Traqueur Est sur le Thread Principal

Interaction to Next Paint est le Core Web Vital que la plupart des sites échouent, et les données de terrain montrent que les scripts de suivi comportemental en sont une cause majeure. La solution : envoyer moins de travail au thread principal.

Lire la suite
4 min de lectureLaw & Regulation

Le Digital Omnibus veut dispenser de consentement l'analytique first-party

Le Digital Omnibus de l'UE, de novembre 2025, propose de dispenser de consentement la mesure d'audience first-party à usage interne. Il décrit le modèle que l'analytique sans cookies exécute déjà.

Lire la suite