Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Google Optimize était l'outil gratuit de tests A/B et de personnalisation de Google, étroitement intégré à Google Analytics. Le produit a été arrêté le 30 septembre 2023, mais le script optimize.js reste actif sur de nombreux sites, continuant à lire les cookies Google Analytics et à transférer les données d'exposition aux variantes vers Google LLC aux États-Unis. Son utilisation requiert le même consentement que Google Analytics au titre du RGPD et de la directive ePrivacy.
Google Optimize était un outil gratuit de tests A/B, de tests multivariés et de personnalisation lancé en 2017. Il permettait aux équipes marketing de créer des expériences sans intervention d''ingénierie, de cibler les visiteurs à partir des segments Google Analytics et de mesurer la performance des variantes directement par rapport aux objectifs Analytics. Google a annoncé l''arrêt d''Optimize et d''Optimize 360 en janvier 2023 et le produit a été officiellement arrêté le 30 septembre 2023. Depuis cette date, plus aucune expérience ne peut être créée et les expériences existantes ont cessé de diffuser des variantes. Pourtant, la bibliothèque optimize.js reste chargée sur un grand nombre d''implémentations historiques, souvent via des balises Google Tag Manager jamais désactivées, et continue de lire les cookies Analytics existants et de déclencher des appels réseau vers les serveurs Google aux États-Unis.
Même après son arrêt, le script optimize.js continue de lire les cookies _ga, _gid et _ga_<MEASUREMENT_ID> déposés par Google Analytics, ainsi que son propre cookie _gaexp qui stocke l''ID d''expérience, l''index de variante et l''expiration. Le script accède à l''URL complète de la page, au document referrer, à la taille du viewport, au user agent et à toute variable de data layer poussée par le site, autant d''éléments exploitables pour le ciblage. Les évènements de page sont envoyés à Google Analytics en HTTPS vers www.google-analytics.com ou region1.google-analytics.com, l''adresse IP étant visible par Google au niveau réseau. Pour les sites ayant intégré Optimize à Google Analytics 4, les évènements d''exposition apparaissent comme des évènements GA4 classiques rattachés au Client ID.
Parce qu''Optimize lit et écrit des cookies qui ne sont pas strictement nécessaires à la fourniture du service demandé, l''article 5(3) de la directive ePrivacy exige un consentement préalable et éclairé avant tout déclenchement du script. Au titre du RGPD, le même traitement requiert une base légale valable : dans le contexte web grand public, seul le consentement de l''article 6(1)(a) est mobilisable. Les données transférées à Google LLC aux États-Unis sont des données personnelles au sens du RGPD, puisque le Client ID est un identifiant en ligne persistant. Les opérateurs doivent donc documenter le mécanisme de transfert (EU US Data Privacy Framework ou Clauses Contractuelles Types), réaliser une analyse d''impact des transferts au regard de Schrems II et informer les utilisateurs du transfert dans la politique de confidentialité. Plusieurs autorités européennes (CNIL, Garante italien, DSB autrichienne) ont sanctionné des déploiements de Google Analytics sans consentement, et Optimize relève du même périmètre.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Les opérateurs qui chargent encore Optimize doivent en restreindre le déclenchement derrière une plateforme de gestion du consentement (CMP). Avec Google Consent Mode v2, la balise Optimize ne doit se déclencher que si analytics_storage est accordé, et ad_storage contrôle les audiences de remarketing Google Ads dérivées des expériences. Le snippet anti flicker, qui masque le contenu jusqu''au chargement d''Optimize, doit lui aussi être conditionné au consentement, sans quoi les visiteurs refusant les cookies verraient une page blanche pendant plusieurs centaines de millisecondes. Les appels aux domaines Google avant consentement doivent être bloqués via l''intégration CMP, le tagging server side ou un trigger d''exclusion dans le gestionnaire de balises.
Auditer les conteneurs Google Tag Manager et le code source pour repérer les références résiduelles à optimize.js, puis les retirer. Désactiver le snippet anti flicker, qui n''a plus de raison d''être une fois que les expériences ne diffusent plus. Mettre à jour la politique de confidentialité et le registre des traitements pour retirer Optimize là où il a été supprimé, ou le signaler comme script hérité en cours de retrait. Remplacer Optimize par un successeur : Google recommande des plateformes partenaires comme AB Tasty, Optimizely ou VWO ; pour les sites privilégiant la résidence des données dans l''UE, Kameleoon, Convert ou GrowthBook auto hébergé proposent des options UE uniquement. Quel que soit l''outil retenu, il faudra refaire le même travail d''AIPD, de consentement et d''analyse des transferts, car le cadre règlementaire reste identique.
Si votre politique cookies mentionne encore Optimize, mettez-la à jour pour préciser que le service a été arrêté par Google et que le script est en cours de suppression. Conservez l''entrée tant que le script n''a pas totalement disparu de la production, car le cookie _gaexp peut persister sur les appareils des visiteurs jusqu''à 90 jours après son retrait. Refaites un scan cookies mensuel pour confirmer que le cookie ne réapparaît plus, et documentez la suppression dans votre registre.
Les sites web utilisant Google Optimize doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Google Optimize s'appuie sur le même identifiant Client _ga que Google Analytics et écrit son propre cookie _gaexp (durée 90 jours) contenant l'ID d'expérience, l'index de variante et la date d'expiration. Points clés pour l'AIPD : (1) toutes les données sont transférées vers Google LLC aux États-Unis, ce qui exige une analyse d'impact des transferts active, même sous le cadre EU US Data Privacy Framework ; (2) le script optimize.js s'exécute dans le top frame de la page et peut lire l'URL complète, le referrer et toute valeur de data layer poussée pour les règles de personnalisation ; (3) les évènements d'exposition aux variantes sont fusionnés avec les profils utilisateur Google Analytics, ce qui allonge la durée de conservation des données comportementales ; (4) le snippet anti flicker masque le contenu de la page jusqu'au chargement d'Optimize, ce qui pose des problèmes d'accessibilité et de performance ; (5) le service étant arrêté, Google ne publie plus de mises à jour ni de correctifs de sécurité, donc tout snippet non retiré continue de fuiter des données sans support actif du fournisseur. Une AIPD est recommandée tant qu'Optimize reste chargé, même sur des pages héritées, et la suppression doit être priorisée.
Exemple de texte de consentement
Ce site utilisait Google Optimize, un service de tests A/B et de personnalisation exploité par Google LLC. Optimize déposait le cookie _gaexp sur votre appareil et partageait des informations d'exposition aux variantes avec Google Analytics. Les données étaient transférées vers Google LLC aux États-Unis. Le service a été arrêté le 30 septembre 2023 ; si vous voyez cet avis, c'est que nous finalisons la suppression des scripts hérités. Vous pouvez refuser le consentement à tout moment via nos paramètres de cookies.
Domaines tiers contactes
www.googleoptimize.comoptimize.google.comwww.google-analytics.comregion1.google-analytics.comstats.g.doubleclick.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _gaexp | Personalization / Experimentation | 90 days | Set by Google Optimize. Stores the experiment ID, variant index and expiry timestamp so that the visitor sees the same variant across sessions. Read on every page load by optimize.js to determine which variant to serve and to report exposure to Google Analytics. |
| _gaexp_rc | Personalization / Experimentation | Session | Set by Google Optimize during a redirect experiment to prevent infinite redirect loops. Holds the redirect chain identifier for the current variant. |
| _opt_awcid | Personalization / Experimentation | 24 hours | Set by Google Optimize when Google Ads click identifiers are present. Used to attribute experiment results back to specific Google Ads campaigns. |
| _opt_awmid | Personalization / Experimentation | 24 hours | Set by Google Optimize. Stores the Google Ads campaign ID for experiments that target paid traffic, allowing Optimize to report variant performance per campaign. |
| _opt_utmc | Personalization / Experimentation | 24 hours | Set by Google Optimize to store the utm_campaign value for the current session, enabling traffic source level analysis of experiment results. |
Google Optimize collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Google Optimize dépose son propre cookie _gaexp (durée 90 jours) qui stocke l'ID d'expérience, l'index de variante et la date d'expiration. Il lit également les cookies Google Analytics existants, _ga (2 ans), _gid (24 heures) et _ga_<MEASUREMENT_ID> (2 ans), pour identifier le visiteur et associer l'exposition aux variantes aux profils utilisateurs Analytics. Après l'arrêt de septembre 2023, le script écrit toujours _gaexp à chaque chargement de page, donc les audits cookies doivent traiter Optimize comme un fournisseur actif jusqu'à la suppression du snippet.
Oui. Les cookies _gaexp et de la famille _ga ne sont pas strictement nécessaires à la fourniture du site, donc l'article 5(3) de la directive ePrivacy exige un consentement préalable et éclairé avant que optimize.js puisse s'exécuter. Même après l'arrêt du produit, le chargement du script sans consentement viole à la fois l'ePrivacy et le RGPD. Le consentement doit être granulaire, libre, aussi facile à retirer qu'à donner, avec un bouton refuser tout aussi visible que accepter tout.
Dans un contexte web grand public, seule la base du consentement (RGPD art. 6(1)(a)) est valable. L'intérêt légitime (art. 6(1)(f)) n'est généralement pas mobilisable pour des cookies de tracking, d'abord parce qu'il ne peut pas neutraliser l'exigence de consentement ePrivacy, ensuite parce que le CEPD a répété que les attentes raisonnables des utilisateurs n'incluent pas le suivi comportemental inter sites. Pour des tests internes sur intranet, la nécessité contractuelle peut s'appliquer, mais c'est un cas étroit.
Oui. Toutes les requêtes Optimize sont envoyées vers les serveurs Google LLC aux États-Unis. Google s'auto certifie sous le EU US Data Privacy Framework, qui fournit une décision d'adéquation pour les transferts EEE vers les importateurs américains certifiés. Le DPF reste contesté et pourrait être invalidé comme son prédécesseur Privacy Shield. Une analyse d'impact des transferts reste recommandée, et la politique de confidentialité doit informer du transfert avec suffisamment de détail pour satisfaire les articles 13 et 14 du RGPD.
Une AIPD est recommandée dès qu'Optimize est chargé, d'autant qu'il combine identifiants en ligne persistants, profilage comportemental et transfert vers les États-Unis. L'article 35 du RGPD rend l'AIPD obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé, ce que les lignes directrices du CEPD et de la CNIL appliquent au tracking en ligne à grande échelle. Documentez le risque, les mesures (consentement, anonymisation possible, durées de conservation) et révisez au moins annuellement.
Encapsulez la balise optimize.js dans un trigger CMP qui ne se déclenche que si analytics_storage est accordé via Google Consent Mode v2. Désactivez le snippet anti flicker, qui n'a plus de raison d'être. Bloquez les appels à www.google-analytics.com et www.googleoptimize.com avant consentement via l'intégration CMP ou le tagging server side. Inscrivez le script résiduel dans votre registre des traitements avec une date cible de suppression et un responsable.
Google recommande des plateformes d'expérimentation partenaires : AB Tasty, Optimizely Web, VWO et Dynamic Yield. Pour les sites privilégiant la résidence des données dans l'UE, Kameleoon (France), Convert (Pays-Bas), AB Tasty (France) et GrowthBook auto hébergé proposent un traitement uniquement UE. Quel que soit l'outil, refaites le même travail d'AIPD, de consentement et d'analyse des transferts, car le cadre reste identique à Optimize : cookies, identifiants persistants, et selon la configuration, transferts vers les États-Unis.
Inscrivez Optimize parmi les cookies analytiques ou de personnalisation, nommez le cookie _gaexp, indiquez sa durée de 90 jours et expliquez qu'il stocke les informations d'exposition aux variantes partagées avec Google Analytics. Ajoutez un encadré précisant que le service a été arrêté par Google le 30 septembre 2023 et que le script est en cours de suppression. Refaites un scan cookies mensuel ; lorsque _gaexp n'apparaît plus sur aucune session, supprimez l'entrée de la politique et mettez à jour votre registre des traitements.