Somaire
Śledzenie bez plików cookie i Tryb zgody V2 : Matomo, GA4 po stronie serwera, CMP open-source
TL;DR : w 2025 zabezpiecz swoje pomiary za pomocą duetu „zgoda szczegółowa + architektura bez plików cookie”. Zaktualizuj do Trybu zgody V2 (ad_user_data, ad_personalization), połącz swój CMP i przełącz GA4 na kontener po stronie serwera UE. Jeśli potrzebujesz analityki bez banera, skonfiguruj Matomo w trybie zwolnionym CNIL lub w trybie ścisłym bez plików cookie — w przeciwnym razie poproś o zgodę.
Definicja i kontekst 2025
Śledzenie bez plików cookie = mierzenie wydajności poprzez ograniczenie (lub usunięcie) zależności od plików cookie, zwłaszcza tych stron trzecich, oraz opieranie się na sygnałach first-party, własnych punktach końcowych i modelach atrybucji szanujących prywatność. Tryb zgody V2 to API Google, które dostosowuje zachowanie tagów (odczyt/zapis, pingi, modelowanie) w zależności od zgody użytkownika w EOG.
Po stronie przeglądarki, usunięcie plików cookie stron trzecich w Chrome odbywa się według dostosowanego harmonogramu, ale kierunek jest jasny : ekosystem przechodzi na API pomiarowe i trafności bardziej szanujące prywatność. Wyzwanie dla marek : ciągłość danych, zgodność, szybkość i kontrola.
Wyzwania biznesowe i zgodność
- Ciągłość KPI pomimo odmowy zgody i blokowania trackerów stron trzecich.
- Zgodność z ePrivacy/RODO (CNIL we Francji): wcześniejsza zgoda na trackery nieistotne, jasna informacja oraz zarządzanie transferami poza UE.
- Wydajność: mniej JS po stronie przeglądarki, poprawiony Time to Interactive, lepsze Core Web Vitals.
- Suwerenność i audytowalność: preferowanie danych first-party, audytowalne CMP, punkty końcowe UE.
Tryb zgody V2 : co się zmienia (i jak to wdrożyć)
Tryb zgody został zaktualizowany pod koniec 2023 o dwa dodatkowe sygnały. W 2024 Google zaostrzył wymóg przekazywania zgody dla użytkowników EOG, zarówno dla personalizacji, jak i niektórych pomiarów.
| Sygnał | Cel | Wpływ w przypadku odmowy | Uwagi dotyczące implementacji |
|---|---|---|---|
ad_storage | Przechowywanie reklamowe (ciasteczka) | Brak ciasteczek Ads (konwersja/remarketing) | Zarządzane przez CMP → GTM/gtag |
analytics_storage | Przechowywanie analityczne | GA4 działa bez ciasteczek z ograniczonymi pingami/modelowaniem | Wpływa na zapis _ga |
ad_user_data (V2) | Zezwolenie na wysyłanie danych użytkownika do systemów reklamowych | Uniemożliwia wysyłanie niektórych danych do platform reklamowych | Krytyczne dla Customer Match / pomiarów Ads |
ad_personalization (V2) | Aktywacja funkcji personalizacji reklam | Brak remarketingu/personalizacji | Blokuje grupy odbiorców/segmenty reklamowe |
functionality_storage | Preferencje podstawowe (np. język) | Funkcje ograniczone | Może być przyznane domyślnie, jeśli jest to ściśle konieczne |
personalization_storage | Personalizacja nie reklamowa | Brak nieistotnej personalizacji UX | Wymaga zgody |
security_storage | Zapobieganie oszustwom / bezpieczeństwo | Ryzyko fałszywych alarmów bezpieczeństwa w przypadku odmowy | Może być traktowane jako niezbędne |
Oficjalne źródła: Przewodniki dotyczące trybu zgody i wymagań EOG (Google), w tym dodanie sygnałów ad_user_data i ad_personalization, oraz procedury weryfikacji z Tag Assistant. Zobacz: Google Developers (przegląd i konfiguracja trybu zgody), Google Support (aktualizacje i egzekwowanie), Tag Assistant rozwiązywanie problemów.
Tryb zgody – przegląd · Konfiguracja trybu zgody (web) · Aktualizacje dla ruchu z EOG · Weryfikacja i aktualizacja ustawień zgody (GA4) · Rozwiązywanie problemów z Tag Assistant
Praktyczna implementacja (web)
- Przed załadowaniem tagów: ustaw stan domyślny przez
gtag('consent','default', {...})(zazwyczaj odmowa poza niezbędnymi). - Połącz CMP: odwzoruj wybory (Analytics, Ads, Personalizacja) → stany trybu zgody, w tym
ad_user_dataiad_personalization. - Zweryfikuj za pomocą Tag Assistant (zdarzenia zgody, przejścia update), oraz przetestuj przypadki „całkowita odmowa”, „tylko analytics”, „ads + personalizacja”.
- Zaloguj (DPO/IT): zachowaj dowody wersji CMP, odwzorowania i testów.
GA4 po stronie serwera: architektura i dobre praktyki
Tagowanie po stronie serwera (GTM Server-Side) przenosi wykonanie i formatowanie zapytań pomiarowych do kontenera server (Cloud Run lub innego). Korzyści: kontrola danych, redukcja JS, odporność na blokady, punkt końcowy first-party (collect.votredomaine.com przez CNAME/proxy).
Lista kontrolna architektury (UE)
- Hosting : kontener server w regionie UE (np. GCP europe-west), ograniczony dostęp, zabezpieczone logi.
- Domena : subdomena first-party (np.
metrics.exemple.com) z TLS. - Consent relay : przesyłanie stanów zgody do serwera (nagłówki/parametry) i warunkowanie wysyłki do destynacji.
- GA4 UE : dla Measurement Protocol używać regionalnego endpointu
https://region1.google-analytics.com/mp/collect. - Minimalizacja : usuwanie niepotrzebnych IP/UA, ukrywanie pól wolnych, ograniczanie szczegółowości.
- Obserwowalność : włączanie podglądu, testowanie przepływów, monitorowanie błędów i opóźnień.
Przydatne zasoby : GTM Server-Side (przegląd, wprowadzenie, podstawy), Consent Mode po stronie serwera, GA4 Measurement Protocol & endpoint UE.
Server-side GTM – Przegląd · Wprowadzenie · Podstawy · Consent Mode po stronie serwera · GA4 Measurement Protocol
Matomo : tryb zwolniony & bez ciasteczek
CNIL przewiduje zwolnienie z wymogu zgody dla niektórych niezbędnych pomiarów audytoryjnych, pod warunkami (ograniczone cele, czas przechowywania, brak retargetingu, brak ponownego wykorzystania przez dostawcę itd.). Matomo umożliwia:
- tryb bez ciasteczek (
disableCookies) i wzmocnioną anonimizację; - tryb zwolniony (przewodnik konfiguracji CNIL);
- tryb zgody jeśli rozszerzasz cele (np. wzbogacenia, segmenty).
Odniesienia CNIL & Matomo : strony CNIL „Pomiar audytoryjny” i zwolnienie, notatka o transferach i proxyfikacji, przewodniki Matomo (zgoda/bez ciasteczek).
CNIL – Rozwiązania do pomiaru odbiorców · CNIL – Pomiar & transfery · Matomo – Śledzenie & zgoda · Matomo – Wyłączanie ciasteczek
CMP open-source : Klaro!, Orejime, CookieConsent
CMP musi być dostępna, audytowalna i interoperacyjna. Opcje open-source oferują przejrzystość i samodzielne hostowanie:
| CMP | Mocne strony | Integracja z Consent Mode | Uwagi |
|---|---|---|---|
| Klaro! | Open-source, konfiguracja JSON, grupy według celu, wielojęzyczność | Integracja przez GTM (szablon zgody) i hooki | Klient open-source; opcjonalne usługi backendowe |
| Orejime | Lekki, skoncentrowany na dostępności, łatwy do stylizacji | Mapowanie niestandardowe do gtag/GTM | Aktywny projekt społecznościowy |
| CookieConsent (Osano) | Licencja MIT, wtyczka WP, szeroka adopcja | Integracja z niestandardowymi zdarzeniami | Wersja open-source ≠ platforma komercyjna |
Aby dowiedzieć się więcej: zapoznaj się z TCF v2.2 (IAB Europe), jeśli współpracujesz z partnerami reklamowymi TCF.
Playbooki wdrożeniowe
Playbook 1 — „Pomiar podstawowy” (Matomo zwolnione)
- Zmapuj cele „ściśle niezbędne” według CNIL (frekwencja, wydajność usługi).
- Skonfiguruj Matomo w trybie zwolnionym (anonimizacja IP, brak retargetingu, skrócony czas przechowywania) i/lub bez ciasteczek.
- Dokumentuj (rejestr, DPA, polityka) i unikaj wszelkich transferów poza UE (lub złagodź je zgodnym proxy).
- Informuj użytkownika (jasna polityka ciasteczek) i oferuj dodatkową opcję opt-out.
Playbook 2 — „Mix GA4 + Ads” (Consent Mode V2 + server-side)
- CMP: zdefiniuj dokładne kategorie i mapuj →
ad_storage,analytics_storage,ad_user_data,ad_personalization. - GTM web: ustaw
defaultna denied (poza niezbędnymi), następnieupdatepo akcji użytkownika. Testuj za pomocą Tag Assistant. - GTM po stronie serwera : subdomena 1P, region UE, przekaźnik zgody, filtrowanie wrażliwych parametrów.
- GA4 : Measurement Protocol przez
region1.google-analytics.com/mp/collect, zasady Data Filters i minimalny okres przechowywania. - Audyt : logi po stronie serwera, plan testów (całkowita odmowa, częściowa zgoda, wycofanie), alerty.
Playbook 3 — „Zespoły produktowe / multi-strony”
- Szablony GTM (templates) do standaryzacji kontroli zgody i ograniczenia kodu na stronie.
- Biblioteka zdarzeń (nazewnictwo, obowiązkowe parametry), współdzielona między stronami/aplikacjami.
- Feature flags do aktywacji nowych partnerów za odpowiednią zgodą.
- Obserwowalność : dashboardy stanu zgody (wskaźniki według kraju), wskaźnik modelowania GA4, stan po stronie serwera.
Czyszczenie, zarządzanie tagami i jakość danych
Dobre przejście na cookieless wiąże się z dużym porządkiem:
- Inwentaryzacja tagów : wypisz wszystko, co zbiera dane (GTM/Gtag, piksele, SDK), usuń „zombie” z historii.
- Racjonalizacja : jeden kontener na powierzchnię, oszczędne reguły wyzwalania, brak dostawców w trybie „fire and forget”.
- Domyślne blokowanie wszelkich destynacji, które nie respektują stanu zgody.
- Jakość : waliduj zdarzenia (schemat, krotność), mierz dryft między consented a denied.
- Bezpieczeństwo : izoluj dostęp, unikaj sekretów na froncie, szyfruj w tranzycie i w spoczynku.
Trendy 2025–2026
- Pliki cookie stron trzecich: stopniowe wycofywanie w Chrome (harmonogram Privacy Sandbox): przygotuj plany eksperymentów i pomiarów z i bez plików cookie 3P.
- Ochrona IP i nowe zabezpieczenia w przeglądarkach: spodziewaj się mniej pasywnych sygnałów.
- Domyślnie po stronie serwera dla stron o dużym ruchu: wydajność, stabilność, kontrola.
- Wzmocnione zarządzanie CNIL : zgodność i kontrola transferów, logowanie, bezpieczeństwo.
FAQ
Czy Consent Mode V2 jest „obowiązkowy” w Europie?
Jeśli używasz tagów/SDK Google do reklamy i pomiarów wobec użytkowników EOG, musisz zbierać zgodę i przekazywać sygnały przez Consent Mode. Bez tego funkcje reklamowe i pomiarowe mogą być wyłączone lub nie działać zgodnie z politykami Google.
Czy cookieless GA4 wystarczy do odtworzenia danych?
Nie. GA4 korzysta z modelowania, gdy pliki cookie nie są dostępne. Jest to przydatne do analiz trendów, nie do śledzenia indywidualnego. Połącz przetwarzanie po stronie serwera, dane pierwszej strony i wyraźną zgodę, gdy jest to konieczne.
Który otwartoźródłowy CMP wybrać?
Klaro! jeśli chcesz dobrze udokumentowanego klienta open source, Orejime jeśli szukasz lekkiego i dostępnego pakietu, CookieConsent jeśli preferujesz prostotę i ekosystem (w tym wtyczkę WordPress). Sprawdź zgodność z TCF, jeśli jest potrzebna.
Jak uniknąć transferów poza UE z GA4?
Użyj punktu końcowego EU w Measurement Protocol, serwera GTM w regionie UE, minimalizuj/ukrywaj dane i dokumentuj środki ochrony. Punkt końcowy EU nie zwalnia ze wszystkich obowiązków transferu, ale zmniejsza ryzyko techniczne.
Matomo „zwolnione” vs „zgoda”: co wybrać?
Jeśli Twoje potrzeby ograniczają się do podstawowej frekwencji, spróbuj zwolnienia (ściśle niezbędne). Gdy dodajesz cele marketingowe, retargeting lub zaawansowane korelacje, przejdź do trybu z wyraźną zgodą.
Słowa kluczowe i współwystępowania
Consent Mode V2, analityka bez plików cookie, GA4 po stronie serwera, Matomo zwolnione CNIL, otwartoźródłowy CMP, TCF v2.2, punkt końcowy regionu EU1, proxyfikacja, privacy by design
Przydatne zasoby i źródła
- Google Developers – Tryb zgody (przegląd)
- Google Developers – Konfiguracja trybu zgody
- Google Support – Aktualizacje trybu zgody dla EOG
- Google Support – Weryfikacja i aktualizacja zgody (GA4)
- GA4 Measurement Protocol Reference (punkt końcowy EU)
- GTM Server-Side – Przegląd
- CNIL – Narzędzia do pomiaru ruchu (zwolnienie)
- CNIL – Pomiar ruchu i transfery danych
- Matomo – Śledzenie i zgoda
- Matomo – Tryb bez plików cookie
- IAB Europe – TCF
- Privacy Sandbox – Aktualizacja dotycząca plików cookie stron trzecich
Wniosek : dobra strategia na 2025 rok to nie „całkowita zgoda”, ani „cały model”, lecz orkiestra: Consent Mode V2 + wiarygodny CMP, GA4 server-side w UE dla wydajności i kontroli, Matomo w trybie zwolnionym lub bez ciasteczek dla podstawowych pomiarów, wszystko to udokumentowane i audytowane. Otrzymujesz trwalsze dane, mniejsze ryzyko regulacyjne i lepsze czasy ładowania.
