Posts by Izac Cavalheiro
Votre script d'analytics est le trou dans votre Content-Security-Policy
Une CSP stricte bloque le XSS. Un tag d'analytics tiers le rouvre. Voici pourquoi les allowlists d'hôtes et l'absence de SRI sabotent votre politique.
Lire la suite →Confidentialité par défaut au niveau HTTP : les en-têtes qui réduisent votre surface de pistage
Deux en-têtes de réponse — Permissions-Policy et Referrer-Policy — déterminent ce que vos pages peuvent fuiter vers l'ad-tech et les tiers. Configurez-les une fois et la surface de surveillance se ferme par défaut.
Lire la suite →L'INP Pénalise l'Analytics Lourde : Pourquoi Votre Traqueur Est sur le Thread Principal
Interaction to Next Paint est le Core Web Vital que la plupart des sites échouent, et les données de terrain montrent que les scripts de suivi comportemental en sont une cause majeure. La solution : envoyer moins de travail au thread principal.
Lire la suite →Le Digital Omnibus veut dispenser de consentement l'analytique first-party
Le Digital Omnibus de l'UE, de novembre 2025, propose de dispenser de consentement la mesure d'audience first-party à usage interne. Il décrit le modèle que l'analytique sans cookies exécute déjà.
Lire la suite →Quand un Hash Est-il une Donnée à Caractère Personnel ? L'Arrêt SRB de la CJUE et l'Identité en Analytics
L'arrêt EDPS contre SRB de la CJUE a fait de l'identifiabilité un test relatif et contextuel. Voici ce que cela signifie pour l'analytics fondé sur le hachage — et pourquoi un hash salé qui tourne quotidiennement résiste à la fois à la lecture de la cour et à celle, plus stricte, du CEPD.
Lire la suite →Consent Mode v2 et la Fin de Google Signals en Juin 2026
Le 15 juin 2026, ad_storage devient le seul contrôle des données publicitaires dans l'écosystème Google. Voici ce que change la fin de Google Signals pour les développeurs — et pourquoi toute cette mécanique est quelque chose qu'une analytique sans cookies n'a jamais eu à construire.
Lire la suite →La Limitation de Conservation Est la Nouvelle Ligne de Front de la Répression en 2026 pour l'Analytics
Les régulateurs ont cessé de demander si vous avez collecté les données licitement et demandent désormais quand vous les avez supprimées. Après l'amende de 42 M€ de la CNIL contre Free et le contrôle d'effacement de l'EDPB, la conservation des données d'analytics est la cible de l'audit.
Lire la suite →Soft Navigations : mesurer la performance des SPA comme le navigateur
Les heuristiques de soft navigation de Chrome permettent enfin aux Core Web Vitals de se rattacher aux changements de route côté client. Voici comment l'API fonctionne et comment la mesurer sans surveillance.
Lire la suite →Global Privacy Control est désormais un signal d'opposition contraignant dans dix États
Le GPC n'est plus facultatif. Après l'accord Disney et un contrôle conjoint de trois États, l'en-tête Sec-GPC est juridiquement contraignant dans dix États américains — et l'analytique sans cookies n'a rien à respecter.
Lire la suite →La Loi Cookies Ne Concerne Plus les Cookies : Ce Que Couvre Désormais l'Article 5(3)
Les Lignes directrices 2/2023 du CEPD ont étendu les règles de consentement ePrivacy aux pixels, au suivi par URL et à l'identification par IP seule. Les décisions récentes de la CNIL et du Garante confirment la lecture technologiquement neutre. Voici ce qui change pour les développeurs.
Lire la suite →Intégrer des Analytics Respectueux de la Vie Privée dans un Site Astro
Les View Transitions d'Astro cassent silencieusement les scripts d'analytics standard. Voici le bon pattern pour suivre chaque changement de route sans cookies ni bandeau de consentement.
Lire la suite →Ajouter des Analytics Respectueux de la Vie Privée à une App SvelteKit
SvelteKit 2 intercepte la navigation côté client différemment des autres frameworks. Voici le bon pattern pour suivre les changements de route sans cookies ni bannière de consentement.
Lire la suite →Privacy Sandbox Est Mort : Ce Que Cela Signifie pour Votre Stack Analytics
Google a retiré Topics, Attribution Reporting et Protected Audience en octobre 2025. Voici ce que l'arrêt signifie techniquement, et pourquoi les analytics first-party étaient depuis toujours le bon choix.
Lire la suite →Les Bandeaux de Consentement Inaccessibles Créent Désormais Deux Responsabilités Juridiques, Pas une
L'European Accessibility Act a rendu WCAG 2.2 opposable en juin 2025. Un bandeau qu'un lecteur d'écran ne peut pas naviguer invalide le consentement RGPD. Les analytics sans cookies contournent les deux problèmes.
Lire la suite →Google a Inversé Son Interdiction du Fingerprinting : Ce Que les Développeurs Doivent Savoir
En février 2025, Google a levé sa propre interdiction du fingerprinting des appareils. Voici ce qui a changé, pourquoi les régulateurs sont alarmés, et ce que cela signifie pour votre stack analytics.
Lire la suite →Pourquoi les Services Lourds en Suivi Vous Coûtent Plus Cher que Vous ne le Pensez
La plupart des applications collectent bien plus que ce qui est nécessaire à leur fonctionnement. Voici ce que ces données font réellement, qui en profite, et pourquoi le risque ne reste pas chez l'entreprise qui collecte.
Lire la suite →Ce que « Privacy-First » Signifie Réellement dans Votre Stack Analytics
L'expression est partout, mais la plupart des outils qui l'utilisent stockent encore des identifiants, des empreintes ou des emails hachés. Voici à quoi ressemble un modèle de données privacy-first techniquement solide.
Lire la suite →Comment un Traceur Analytics de 2 KB Garde Vos Core Web Vitals au Vert
Les scripts analytics traditionnels sont assez lourds pour dégrader votre score Lighthouse. Voici ce qu'un traceur léger fait différemment — et pourquoi cela compte pour les vrais utilisateurs.
Lire la suite →Google Analytics Est Surdimensionné pour la Plupart des Sites : Le Point de Vue d'un Développeur
Google Analytics collecte bien plus que ce dont la plupart des sites ont besoin. Voici pourquoi une alternative légère et privacy-first change l'expérience développeur — et l'expérience visiteur.
Lire la suite →Ajouter des Analytics Privacy-First à une App Next.js
Un guide étape par étape pour intégrer Monoid à Next.js sans cookies, sans bandeaux de consentement, sans maux de tête de conformité.
Lire la suite →Pourquoi les Analytics Sans Cookies N'ont Pas Besoin de Bandeau de Consentement
La plupart des outils analytics requièrent une popup de consentement cookies parce qu'ils stockent des données personnelles. Voici la raison technique pour laquelle les analytics privacy-first s'en passent entièrement.
Lire la suite →