Logo Logo
Cookiebot

 

Le Règlement général sur la protection des données (RGPD) et la Directive ePrivacy (ePR) affectent la manière dont vous, en tant que propriétaire de site Web, pouvez utiliser Google Analytics pour suivre vos visiteurs de l'UE. 

 

Essayez notre test de conformité gratuit pour vérifier si l'utilisation de cookies sur votre site Web et le suivi en ligne sont conformes au RGPD et ePR.

Google Analytics est de loin l'outil le plus populaire pour les propriétaires de sites Web afin de mieux comprendre comment leur site est utilisé.

Mais est-il conforme au Règlement européen sur la protection des données (RGPD, ou GDPR, pour “General Data Protection Regulation” en anglais) ?

Pouvez-vous continuer à utiliser Google Analytics en pleine conformité, et quelles mesures faut-il prendre ?

Dans cet article, nous proposons une introduction à Google Analytics, au RGPD, et à ce que les exigences légales signifient réellement pour votre site Web et son utilisation de cookies, d’outils tiers et de suivi en ligne.

Découvrez ce que Google eux-mêmes sont en train de faire en préparation au RGPD, quels modifications vous devez apporter à votre compte Google Analytics, et comment vous pouvez rendre votre utilisation de Google Analytics conforme au règlement.

Si vous désirez sauter les introductions et vous mettre au travail tout de suite, veuillez défiler jusqu'au deux check-lists au fond de l’article.

Mon utilisation de Google Analytics est-elle conforme au RGPD et ePR ?

Qu'est-ce que Google Analytics ?


Google Analytics est l’outil d'analyse du trafic Web offert par Google. C’est un instrument puissant et largement utilisé, qui permet aux propriétaires de sites Web d'avoir une vision approfondie et en temps réel sur la manière dont laquelle leur site est utilisé, par combien et par qui.

Comment leurs utilisateurs trouvent-ils le site Web, comment se déplacent-ils sur le site, combien de temps restent-ils et où vont-ils une fois terminé ?

En tant que tel, Google Analytics est dans son essence pure un outil de traitement des données des utilisateurs.

Qu'est-ce que le RGPD et comment affecte-t-il mon site Web ?


Le Règlement général sur la protection des données est une loi européenne qui définit des exigences strictes en matière de traitement des données des citoyens de l'UE.

Il a été appliqué le 25 mai 2018 et concerne les entreprises, organisations et sites Web, grands et petits, qui traitent les données personnelles des utilisateurs de l'UE.

Pour les propriétaires de sites Web, la réglementation signifie que vous devez passer par toutes vos activités de traitement de données personnelles et vous assurer qu'elles sont conformes.

Typiquement, les activités de traitement de données sur les sites Web sont de deux types:

Le RGPD signifie que vous devez passer par les deux, et réviser les données que vous collectez, si vous avez vraiment besoin de ces données et pourquoi, et comment vous les gardez sécurisées.

Le problème avec les cookies dans le RGPD

Grâce à leurs multiples usages, les cookies sont souvent la partie délicate quand il s’agit de rendre son site Web conforme au règlement.

Les cookies servent à beaucoup de fins, à partir d'améliorer la fonctionnalité et la performance du site, en passant par la génération de statistiques, jusqu'au marketing ciblé.

Certains sont nécessaires pour que le site fonctionne, et d'autres pas. Certains améliorent l'expérience de l'utilisateur, certains servent à la surveillance et au profilage des utilisateurs, et certains font tout les deux à la fois.

Certains sont configurés par le site Web lui-même, tandis que la majorité est d'origine tierce et originent généralement des plug-ins intégrés sur votre site.

En plus, les cookies sur les sites Web ont tendance à changer, ce qui signifie qu'obtenir une vue d'ensemble une fois pour toutes ne suffira pas.

Cependant, de façon générale, les cookies collectent des informations concernant les actions des utilisateurs, ce qui les rends sujets au RGPD.

Le règlement affecte votre utilisation des cookies et du suivi en ligne, votre politique de cookies et votre politique de confidentialité, et, non pas en dernier lieu, la manière dont vous obtenez le consentement de vos utilisateurs pour la configuration des cookies.

En quoi consiste les “données personnelles" selon le RGPD ?

Le problème pour les propriétaires de sites Web lorsqu'il s'agit des outils tels que Google Analytics, est la définition très large du RGPD au niveau des données personnelles :

Non seulement l’adresse IP, les informations de contact et les données sensibles telles que les dossiers médicaux et financiers sont personnelles, mais aussi toute donnée permettant d'identifier "directement ou indirectement" quelqu'un en utilisant "tous les moyens raisonnablement susceptibles d'être utilisés".

Cela inclut les données pseudonymes, les identifiants en ligne et les cookies qui, comme l'indique le RGPD, peuvent être combinés avec d'autres données pour créer des «profils de personnes physiques et les identifier».

Quelles sont les données personnelles collectées par Google Analytics ?

Google Analytics fonctionne à l'aide d'un code de suivi ajouté aux pages de votre site Web.

Chaque utilisateur est enregistré avec un identifiant unique, de sorte que Google Analytics peut vous fournir un aperçu du nombre de visiteurs uniques sur le site, par exemple, et du nombre d'utilisateurs qui reviennent.

Avec Google Analytics, il est possible de connaître la fréquence avec laquelle un utilisateur a visité le site Web, les pages qu'il a visité, la durée de la visite et la manière dont il a interagi avec le site.

Couplé avec leur énorme perspicacité statistique sur les internautes, Google Analytics peut fournir des informations très précises sur les segments en tant que paramètres démographiques tel que l'âge, le sexe, les intérêts professionnels et privés, la situation géographique, etc.

Il est difficile d'obtenir une vision claire des données effectivement suivies par Google Analytics, car celles-ci ne cessent de se développer et de s'améliorer, et Google n'offre guère de transparence sur leurs méthodes.

Selon les Conditions de protection des données de Google Ads: Informations sur le service, Google Analytics collecte les catégories suivantes de données personnelles :

Pour avoir une idée générale des données collectées par Google, vous pouvez consulter leur politique de confidentialité :

“Nous collectons des informations pour fournir de meilleurs services à tous nos utilisateurs - de la définition des éléments de base comme par exemple la langue que vous parlez, à des éléments plus complexes tels que les annonces que vous trouverez les plus utiles, les personnes qui vous intéressent le plus et les vidéos YouTube susceptibles de vous intéresser.”

Et encore:

“Nous collectons des informations de deux manières:

1. Des informations que vous nous donnez. Par exemple, plusieurs de nos services nécessitent que vous vous inscriviez à un compte Google. Lorsque vous le faites, nous vous demanderons des informations personnelles, comme votre nom, votre adresse e-mail, votre numéro de téléphone ou votre carte de crédit. Si vous souhaitez profiter pleinement des fonctionnalités de partage que nous proposons, nous pouvons également vous demander de créer un profil Google publiquement visible, qui peut inclure votre nom et votre photo.

2. Informations que nous obtenons de votre utilisation de nos services. Nous collectons des informations sur les services que vous utilisez et sur la façon dont vous les utilisez, par exemple lorsque vous regardez une vidéo sur YouTube, visitez un site Web qui utilise nos services de publicité, ou que vous consultez et interagissez avec nos annonces et contenus."

Selon la définition des données personnelles du RGPD décrite ci-dessus, le suivi du comportement et du profilage des utilisateurs est uniquement conforme aux réglementations de l'UE lorsque le site a obtenu le consentement préalable du visiteur.

C’est à dire que vous devrez bloquer tout usage de Google Analytics jusqu'à ce que vous aurez reçu le consentement de vos utilisateurs.

Que fait Google Analytics en préparation à l’entrée en vigueur du RGPD ?


Sur leur blog, Google en Europe, Google partage régulièrement des informations sur la façon dont ils se préparent à répondre aux exigences du RGPD.

Au cours du printemps 2018, ils ont publié des mises à jour sur leur travail afin de devenir conformes: ils ont révisé leur politique de consentement des utilisateurs européens, modifié leurs termes contractuels et apporté des modifications à leurs produits.

Mise à jour de la politique de consentement de l'UE

Conformément à leurs règles en matière de fonctionnalités publicitaires, les utilisateurs de Google Analytics et de Google Analytics 360 utilisant des fonctionnalités publicitaires doivent respecter la politique de consentement de l'utilisateur de Google.

La politique de consentement des utilisateurs de Google est mise à jour pour refléter les exigences légales du RGPD.

Il définit les responsabilités des propriétaires de sites Web en matière de divulgation et d'obtention de consentements des utilisateurs finaux dans l'Espace économique européen (désormais EEE).

Par exemple, en vertu de cette politique, les annonceurs devront obtenir le consentement des utilisateurs pour la collecte de données pour des publicités personnalisées (par exemple, des balises de remarketing pour créer des listes d'audience) et pour l'utilisation de cookies lorsque légalement requis (par exemple tags de conversion).

La politique est intégrée dans les contrats de la plupart des annonces et produits de mesure Google à l'échelle mondiale.

Changements de contrat

Depuis août 2017, Google déploie des mises à jour de leurs contrats pour de nombreux produits, reflétant leur statut de processeur ou de contrôleur dans le cadre du RGPD (voir la classification complète des produits Google Ads).

Les nouveaux termes RGPD complètent votre contrat avec Google et sont entrés en vigueur le 25 mai 2018. Dans Google Analytics et Google Analytics 360, Google fonctionne comme un processeur de données personnelles traitées dans le service.

Pour les clients Google Analytics basés en dehors de l'EEE et tous les clients d'Analytics 360, des conditions de traitement des données mises à jour sont disponibles pour votre examen et acceptation sur votre page des paramètres du compte.

Pour les clients Google Analytics basés dans l'EEE, les termes de traitement des données mis à jour ont déjà été inclus dans vos termes.

Si vous ne contractez pas avec Google pour votre utilisation de leurs produits, Google vous conseille de demander conseil aux parties avec lesquelles vous avez conclu un contrat.

Modification de produits

Pour se conformer, et soutenir la conformité de leurs clients avec le RGPD, Google…

- apporte des modifications au réseau de sites d'éditeurs sur lesquels vos annonces peuvent être diffusées - permettant aux éditeurs de diffuser des annonces non personnalisées et de sélectionner les tiers qui évaluent et diffusent des annonces pour les utilisateurs de l'EEE sur leurs sites et applications.

- prend des mesures pour limiter le traitement des informations personnelles pour les enfants en vertu de l'âge de consentement GDPR dans les États membres individuels.

- ont introduit des contrôles de rétention de données granulaires qui vous permettent de gérer la durée de conservation des données de vos utilisateurs sur leurs serveurs. À partir du 25 mai 2018, les données relatives aux utilisateurs et aux événements sont conservées en fonction de ces paramètres. Google Analytics supprime automatiquement les données d'utilisateur et d'événement antérieures à la période de rétention sélectionnée.

- est en cours de lancer un nouvel outil de suppression d'utilisateur qui vous permet de gérer la suppression de toutes les données associées à un utilisateur individuel (par exemple un visiteur du site) à partir de vos propriétés Google Analytics et / ou Analytics 360.

- Enfin, Google explore les solutions de consentement pour les éditeurs.

En savoir plus

Consultez la page privacy.google.com/businesses pour en savoir plus sur les politiques et les méthodes de confidentialité des données de Google, ainsi que sur leurs conditions de traitement des données.

Que devriez vous faire pour que vos comptes Google Analytics soient conformes au RGPD ?

Malgré toute les démarches susmentionnées, en tant que propriétaire du site, vous êtes en dernier lieux responsable des données personnelles de vos visiteurs qui sont traitées sur votre site.

Consultez cet article utile sur la façon de préparer votre utilisation de Google Analytics pour le RGPD.

Pour préparer votre utilisation de Google Analytics au RGPD, il-y a essentiellement deux choses que vous devriez faire:

1. Apporter des modifications aux paramètres de votre compte Google Analytics

2. Vous assurer que l'utilisation de Google Analytics et d'autres outils sur votre site Web est conforme.

Check-list 1: Étapes à suivre pour rendre votre Google Analytics GDPR conforme


1. Contrôlez comment vous transmettez des données personnelles à Google

Il ne suffit pas de filtrer les données personnelles via les filtres procurés par Google Analytics.

La transmission doit être arrêtée au niveau du code pour empêcher les données d'être envoyées à Google Analytics. Vérifiez l'URL de votre page, les titres de pages et les autres dimensions.

Assurez-vous qu'aucune donnée personnelle n'est collectée. Un exemple courant de collecte de données personnelles est lorsque vous capturez une URL de page qui contient un paramètre "email = querystring".

Si tel est le cas, il est probable que vous transmettiez des données personnelles à d'autres technologies marketing utilisées sur votre site!

2. Activer l'anonymisation IP

L'adresse IP est une donnée personnelle selon la définition du RGPD. Par défaut, les adresses IP ne sont jamais exposées dans les rapports, mais Google les utilise pour fournir des données de géolocalisation.

Par conséquent, c'est une bonne idée d'activer la fonction d'anonymisation IP dans Google Analytics. Cette modification réduira légèrement la précision du reporting géographique de votre compte Google Analytics.

Pour activer l'anonymisation, vous devez modifier le code. Si vous utilisez Google Tag Manager, ajustez votre variable ou la variable Paramètres Google Analytics en cliquant sur Plus de paramètres -> Champs à définir, puis ajoutez un nouveau champ nommé 'anonymizeIp' avec la valeur 'true'.

Si vous n'utilisez pas Google Gestionnaire de balises, votre système de gestion des balises peut afficher ce paramètre en tant qu'option, ou vous devrez peut-être modifier le code directement.

Une fois implémentée, Google anonymisera l'adresse IP dès que possible en supprimant le dernier octet de l'adresse IP avant le début du stockage ou du traitement (votre adresse IP devient 123.123.123.0 - où la dernière partie / octet est remplacée par un '0' ).

Une fois cette fonctionnalité activée, l'adresse IP complète n'est jamais écrite sur le disque selon Google.

3. Parcourez la collection d'identifiants pseudonymes dans votre Google Analytics

Votre implémentation Google Analytics utilise déjà des identifiants pseudonymes. Ceux-ci peuvent inclure les éléments suivants:

ID utilisateur: permet de contrôler que les ID utilisateur sont des identifiants de base de données alphanumériques et non des données écrites en texte brut, telles que des e-mails, des noms d'utilisateur, etc.

Données hachées / cryptées telles que l'adresse e-mail: vérifiez si vous pouvez vous passer de données hachées ou cryptées. Google a une exigence de hachage minimum de SHA256. Cependant, il est recommandé d'éviter de collecter des données de cette manière.

Identifiants de transaction: Les identifiants de transaction sont des identifiants de pseudonyme, car lorsqu'ils sont liés à une autre source de données, ils peuvent conduire à l'identification d'un individu. Assurez-vous que cet ID est un identifiant de base de données alphanumérique.

Check-list 2: Étapes à suivre pour rendre l’utilisation de Google Analytics de la part de votre site Web conforme au RGPD


1. Fournir des informations transparentes sur le traitement des données sur votre site dans votre politique de confidentialité et / ou la politique des cookies

Assurez-vous que le traitement des données en cours sur votre site Web est clairement indiqué, par exemple dans votre politique de confidentialité. C'est une exigence du GDPR, que l'information sur la collecte de données soit...

Avez-vous une politique de cookie appropriée en place?

La politique relative aux cookies devrait être accessible à vos utilisateurs, et indiquer quels cookies sont utilisés, à quoi ils servent, et comment y accéder.

Peu importe si votre politique de cookies est un document indépendant ou intégrée dans votre politique de confidentialité, à condition que l'information soit facilement accessible à vos utilisateurs. En savoir plus sur les conditions requises pour la politique de cookie et comment s'y conformer.

Avec Cookiebot, le rapport mensuel de l'analyse de votre site Web peut être publié en tant que partie intégrante de votre politique de confidentialité et de votre politique de cookies.

De cette façon, vos informations à vos utilisateurs sont toujours spécifiques et à jour avec le traitement des données en cours, peu importe la façon dont vos outils et cookies changent.

En outre, la déclaration fournit automatiquement les options obligatoires de modification et de révocation du consentement.

2. Mettre en œuvre un consentement de cookie conforme au RGPD

Mettre en place un consentement à l'utilisation des cookies approprié est une partie cruciale de rendre votre site Web conforme au RGPD. Pour être conforme, le consentement doit être …

Lire d’avantage dans notre article sur les cookies et le RGPD.

Cookiebot est l'une des rares solutions de consentement au cookies qui fait tout cela. Vous ne pouvez pas contrôler Google. Mais en mettant en œuvre Cookiebot, vous pouvez rendre l'utilisation de cookies de votre site Web et le suivi en ligne conforme au RGPD.

Ressources


GDPR Report: GDPR and Google Analytics
Digital Third Coast: How does Google Analytics actually work?
Shivarweb: What does Google Analytics do?
Google developers guide: Google Analytics cookie usage on websites
Stackoverflow: What data is collected by Google Analytics (by default)
Google's Privacy policy
Medium: Google Analytics and GDPR Compliance
Google Ads Data Protection Terms: Service Information
GOOGLE IN EUROPE Getting ready for Europe’s new data protection rules
Googles EU User Consent Policy
Full classification of Googles Ads products

Rendez l'usage des cookies et du pistage en ligne sur votre site conforme au RGPD/ePR dès aujourd'hui

Faites un essai gratuit