Logo Logo
Cookiebot

 

Le Règlement général sur la protection des données (RGPD) et la Directive ePrivacy (ePR) affectent la manière dont vous, en tant que propriétaire de site web, pouvez utiliser Google Analytics pour effectuer le suivi des visiteurs de l'UE. 

 

Essayez notre test de conformité gratuit pour vérifier si l'utilisation de cookies sur votre site web et le suivi en ligne sont conformes au RGPD et ePR.

Mon utilisation de Google Analytics est-elle conforme au RGPD et ePR ?

Mise à jour le 26 février 2020

Google Analytics est de loin l'outil le plus populaire pour les propriétaires de sites web pour une meilleure compréhension de l'utilisation de leur site. Mais est-il conforme au Règlement européen sur la protection des données (RGPD) ?

Pouvez-vous continuer à utiliser Google Analytics en pleine conformité, et quelles mesures faut-il prendre ?

Dans cet article, nous proposons une introduction à Google Analytics, au RGPD, et à ce que les exigences légales signifient réellement pour votre site web et l'utilisation de cookies, d’outils tiers et de suivi en ligne.

Découvrez ce que Google eux-mêmes sont en train de faire pour s'adapter au RGPD, quelles modifications vous devez apporter à votre compte Google Analytics, et comment vous pouvez rendre votre utilisation de Google Analytics conforme au règlement.

Si vous désirez sauter l'introduction et vous mettre au travail tout de suite, vous pouvez lire directement les deux check-lists en fin d'article.

Qu'est-ce que Google Analytics ?


Google Analytics est l’outil d'analyse du trafic web proposé par Google. C’est un instrument puissant et largement utilisé, qui permet aux propriétaires de sites web d'avoir une vision approfondie et en temps réel sur la manière dont leurs sites sont utilisés, par combien d'internautes et par qui.

Comment les utilisateurs trouvent-ils le site web, comment se déplacent-ils sur le site, combien de temps restent-ils et où vont-ils quand ils quittent le site ?

Google Analytics est dans son essence pure un outil de traitement des données des utilisateurs.

Qu'est-ce que le RGPD et comment affecte-t-il mon site web ?


Le Règlement général sur la protection des données est une loi européenne qui définit des exigences strictes en matière de traitement des données des citoyens de l'UE.

Il est entré en vigueur le 25 mai 2018 et concerne les entreprises, organisations et sites web, grands et petits, qui traitent les données personnelles des utilisateurs de l'UE.

Pour les propriétaires de sites web, la réglementation signifie que vous devez vérifier que toutes vos activités de traitement de données personnelles sont conformes.

Typiquement, les activités de traitement de données sur les sites web sont de deux types :

Le RGPD signifie que vous devez examiner les deux, et réviser les données que vous collectez, si vous avez vraiment besoin de ces données et pourquoi, et comment vous les gardez sécurisées.

Le problème avec les cookies dans le RGPD

Grâce à leurs multiples utilisations, les cookies sont souvent l'étape délicate dans la mise en conformité d'un site web au règlement.

Les cookies servent beaucoup d'objectifs, de l'amélioration de la fonctionnalité et la performance du site, en passant par la génération de statistiques et le marketing ciblé.

Certains cookies sont nécessaires pour que le site fonctionne, et d'autres ne le sont pas. Certains améliorent l'expérience de l'utilisateur, certains servent à la surveillance et au profilage des utilisateurs, et certains font les deux à la fois.

Certains cookies sont configurés par le site web lui-même, tandis que la majorité est d'origine tierce et provient généralement des plug-ins intégrés sur votre site.

De plus, les cookies sur les sites web ont tendance à changer. Ainsi il ne suffit pas d'obtenir une vue d'ensemble une fois pour toutes.

De façon générale, les cookies collectent des informations concernant les actions des utilisateurs, ce qui les rends sujets au RGPD.

Le règlement affecte votre utilisation des cookies et du suivi en ligne, votre politique de cookies et votre politique de confidentialité, et la manière dont vous obtenez le consentement de vos utilisateurs pour la configuration des cookies.

Plugins, contenu intégré, et outils utilisés sur votre site web installent tous des cookies.

En tant que propriétaire de site web, vous êtes responsable de toute activité de traitement de données sur votre site, par des tiers ou non.

Lisez-en plus sur les solutions aux cookies pour votre site ici.

En quoi consiste les « données personnelles » selon le RGPD ?

Le problème pour les propriétaires de sites web lorsqu'il s'agit des outils tels que Google Analytics, est la définition très large des données personnelles établie par le RGPD  :

Non seulement l’adresse IP, les informations de contact et les données sensibles telles que les dossiers médicaux et financiers sont considérées comme des informations à caractère personnel, mais c'est aussi le cas de toute donnée permettant d'identifier « directement ou indirectement » quelqu'un en utilisant « tous les moyens raisonnablement susceptibles d'être utilisés ».

Cela inclut les données pseudonymes, les identifiants en ligne et les cookies qui, comme l'indique le RGPD, peuvent être combinés avec d'autres données pour créer des « profils de personnes physiques et les identifier ».

Quelles sont les données personnelles collectées par Google Analytics ?

Google Analytics fonctionne à l'aide d'un code de suivi ajouté aux pages de votre site web.

Chaque utilisateur est enregistré avec un identifiant unique, de sorte que Google Analytics peut vous fournir, par exemple, un aperçu du nombre de visiteurs effectuant une seule visite sur le site et du nombre d'utilisateurs qui reviennent.

Avec Google Analytics, il est possible de connaître la fréquence à laquelle un utilisateur a visité le site web, les pages qu'il a visitées, la durée de la visite et la manière dont il a interagi avec le site.

En combinant ces données avec une grande perspicacité statistique sur les internautes, Google Analytics peut fournir des informations très précises sur les segments d'internautes attirés par votre site web en fonction de données démographiques telles que l'âge, le sexe, les intérêts professionnels et privés, la situation géographique, etc.

Il est difficile d'obtenir un aperçu précis des données que Google Analytics suit réellement, car celles-ci ne cessent de se développer et de s'améliorer, et Google n'offre guère de transparence concernant leurs méthodes.

Selon les Conditions de protection des données de Google Ads : Informations sur le service (en anglais), Google Analytics collecte les catégories de données personnelles suivantes :

Pour avoir une idée générale des données collectées par Google, vous pouvez consulter leurs règles de confidentialité :

« Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. Il peut s'agir d'informations de base, telles que la langue que vous utilisez, ou plus complexes, comme les annonces que vous trouvez les plus utiles, les personnes qui vous intéressent le plus sur le Web ou les vidéos YouTube qui sont susceptibles de vous plaire. »

Google collecte des informations de deux manières :

1. Les informations que vous donnez. Par exemple, plusieurs des services Google nécessitent que vous vous inscriviez à un compte Google. Lorsque vous le faites, il vous est demandé de rentrer des informations personnelles, comme votre nom, votre adresse e-mail, votre numéro de téléphone ou votre carte de crédit.

2. Les informations que Google nous obtient par l'utilisation de leurs services. Google collecte des informations sur les services que vous utilisez et sur la façon dont vous les utilisez, par exemple lorsque vous regardez une vidéo sur YouTube, visitez un site web qui utilise les services de publicité Google, ou que vous consultez et interagissez avec des annonces et contenus de Google.

Selon la définition des données personnelles du RGPD décrite ci-dessus, le suivi du comportement et le profilage des utilisateurs est uniquement conforme aux réglementations de l'UE lorsque le site a obtenu le consentement préalable du visiteur.

C’est à dire que vous devrez bloquer tout utilisation de Google Analytics jusqu'à ce que vous ayez reçu le consentement des utilisateurs.

Que fait Google Analytics en réponse au RGPD ?


Sur leur blog, Google en Europe, Google partage régulièrement des informations sur la façon dont ils se préparent à répondre aux exigences du RGPD.

Au cours du printemps 2018, ils ont publié des mises à jour sur leur travail afin de devenir conformes : ils ont révisé leurs règles relatives au consentement de l'utilisateur dans l'UE, modifié leurs termes contractuels et apporté des modifications à leurs produits.

Mise à jour de la politique de consentement de l'UE

Conformément à leurs règles relatives aux fonctionnalités de publicité, les utilisateurs de Google Analytics et de Google Analytics 360 utilisant des fonctionnalités publicitaires doivent respecter les règles relatives au consentement de l'utilisateur de Google.

La politique de consentement des utilisateurs de Google est mise à jour pour refléter les exigences légales du RGPD.

Elle définit les responsabilités des propriétaires de sites web en matière de divulgation et d'obtention de consentements des utilisateurs finaux dans l'Espace économique européen (ci-après EEE).

Par exemple, en vertu de cette politique, les annonceurs doivent obtenir le consentement des utilisateurs pour la collecte de données pour des publicités personnalisées (par exemple, des balises de re-marketing pour créer des listes d'audience) et pour l'utilisation de cookies lorsque légalement requis (par exemple tags de conversion).

La politique est intégrée dans les contrats de la plupart des annonces et produits de mesure Google.

Changements de contrat

Depuis août 2017, Google mets à jour ses contrats pour de nombreux produits, ce qui reflète son statut de processeur ou de contrôleur dans le cadre du RGPD (voir la classification complète des produits Google Ads).

Les nouveaux termes RGPD complètent votre contrat avec Google et sont entrés en vigueur le 25 mai 2018. Dans Google Analytics et Google Analytics 360, Google fonctionne comme un processeur de données personnelles traitées dans le service.

Pour les clients Google Analytics basés en dehors de l'EEE et tous les clients d'Analytics 360, des conditions de traitement des données mises à jour sont disponibles pour votre examen et acceptation sur votre page des paramètres du compte.

Pour les clients Google Analytics basés dans l'EEE, les termes de traitement des données mis à jour ont déjà été inclus dans vos termes.

Si vous ne contractez pas avec Google pour votre utilisation de leurs produits, Google vous conseille de demander conseil aux parties avec lesquelles vous avez conclu un contrat.

Modification de produits

Pour se conformer, et aider leurs clients à être en conformité avec le RGPD, Google…

- apporte des modifications au réseau de sites d'éditeurs sur lesquels vos annonces peuvent être diffusées - permettant aux éditeurs de diffuser des annonces non personnalisées et de sélectionner les tiers qui évaluent et diffusent des annonces pour les utilisateurs de l'EEE sur leurs sites et applications.

- prend des mesures pour limiter le traitement des informations personnelles pour les enfants en vertu de l'âge de consentement RGPD dans chaque État membre.

- ont introduit des contrôles granulaires de la conservation de données qui vous permettent de gérer la durée de conservation des données de vos utilisateurs sur leurs serveurs. À partir du 25 mai 2018, les données relatives aux utilisateurs et aux événements sont conservées en fonction de ces paramètres. Google Analytics supprime automatiquement les données d'utilisateur et d'événement antérieures à la période de conservation sélectionnée.

- lance un nouvel outil de suppression d'utilisateur qui vous permet de gérer la suppression de toutes les données associées à un utilisateur individuel (par exemple un visiteur du site) à partir de vos propriétés Google Analytics et/ou Analytics 360.

- Enfin, Google explore les solutions de consentement pour les éditeurs.

En savoir plus

Consultez la page Entreprises et données pour en savoir plus sur les politiques et les méthodes de confidentialité des données de Google, ainsi que sur leurs conditions de traitement des données.

Que devriez vous faire pour que vos comptes Google Analytics soient conformes au RGPD ?

Malgré toute les démarches mentionnées ci-dessus, en tant que propriétaire du site, vous êtes responsable des données personnelles de vos visiteurs qui sont traitées sur votre site.

Consultez cet article sur la façon de rendre votre utilisation de Google Analytics conforme au RGPD.

Pour rendre votre utilisation de Google Analytics conforme au RGPD, deux choses essentielles sont à faire :

1. Apporter des modifications aux paramètres de votre compte Google Analytics

2. Vous assurer que l'utilisation de Google Analytics et d'autres outils sur votre site web est conforme.

Check-list 1 : Étapes à suivre pour rendre votre Google Analytics conforme au RGPD


1. Contrôlez comment vous transmettez des données personnelles à Google

Il ne suffit pas de filtrer les données personnelles via les filtres procurés par Google Analytics.

La transmission doit être stoppée au niveau du code pour empêcher les données d'être envoyées à Google Analytics. Vérifiez l'URL de votre page, les titres de pages et les autres dimensions.

Assurez-vous qu'aucune donnée personnelle n'est collectée. Un exemple courant de collecte de données personnelles est lorsque vous capturez une URL de page qui contient un paramètre "email = querystring".

Si tel est le cas, il est probable que vous transmettiez des données personnelles à d'autres technologies marketing utilisées sur votre site !

2. Rendre les adresses IP anonymes

L'adresse IP est une donnée personnelle selon la définition du RGPD. Par défaut, les adresses IP ne sont jamais exposées dans les rapports, mais Google les utilise pour fournir des données de géolocalisation.

Par conséquent, c'est une bonne idée de rendre les adresses IP anonymes dans Google Analytics. Cette modification réduira légèrement la précision du reporting géographique de votre compte Google Analytics.

Pour rendre les adresses IP anonymes, vous devez modifier le code. Si vous utilisez Google Tag Manager, ajustez votre variable ou la variable Paramètres Google Analytics en cliquant sur Plus de paramètres -> Champs à définir, puis ajoutez un nouveau champ nommé 'anonymizeIp' avec la valeur 'true'.

Si vous n'utilisez pas Google Tag Manager, votre système de gestion des balises peut afficher ce paramètre en tant qu'option, ou vous devrez peut-être modifier le code directement.

Une fois mis en place, Google rendra une adresse IP anonyme dès que possible en supprimant le dernier octet de l'adresse IP avant le début du stockage ou du traitement (votre adresse IP devient 123.123.123.0 - où la dernière partie est remplacée par un '0' ).

Une fois cette fonctionnalité activée, l'adresse IP complète n'est jamais écrite sur le disque, selon Google.

3. Parcourez la collection d'identifiants pseudonymes dans votre Google Analytics

Votre mise en place de Google Analytics utilise déjà des identifiants pseudonymes. Ceux-ci peuvent inclure les éléments suivants :

Identifiant utilisateur : permet de contrôler que les identifiants utilisateurs sont des identifiants de base de données alphanumériques et non des données écrites en texte brut, telles que des e-mails, des noms d'utilisateur, etc.

Données hachées/cryptées telles que l'adresse e-mail : vérifiez si vous pouvez vous passer de données hachées ou cryptées. Google a une exigence de hachage minimum de SHA256. Cependant, il est recommandé d'éviter de collecter des données de cette manière.

Identifiants de transaction : Les identifiants de transaction sont des identifiants de pseudonyme, car lorsqu'ils sont liés à une autre source de données, ils peuvent conduire à l'identification d'un individu. Assurez-vous que cet identifiant est un identifiant de base de données alphanumériques.

Check-list 2 : Étapes à suivre pour rendre l’utilisation de Google Analytics par votre site web conforme au RGPD


1. Fournir des informations transparentes sur le traitement des données sur votre site dans votre politique de confidentialité et/ou la politique des cookies

Assurez-vous que le traitement des données en cours sur votre site web est clairement indiqué, par exemple dans votre politique de confidentialité. Une exigence du RGPD est que l'information sur la collecte de données...

Avez-vous une bonne politique de cookies ?

La politique relative aux cookies devrait être accessible à vos utilisateurs, indiquer quels cookies sont utilisés et à quoi ils servent, et comment y accéder.

Peu importe si votre politique de cookies est un document indépendant ou intégré dans votre politique de confidentialité, à condition que l'information soit facilement accessible à vos utilisateurs. En savoir plus sur les conditions requises pour la politique de cookies et comment s'y conformer.

Avec Cookiebot, le rapport mensuel de l'analyse de votre site web peut être publié en tant que partie intégrante de votre politique de confidentialité et de votre politique de cookies.

De cette façon, les informations sont toujours spécifiques et à jour avec le traitement des données en cours, peu importe la façon dont vos traceurs et cookies changent.

En outre, la déclaration fournit automatiquement les options obligatoires de modification et de retrait du consentement.

2. Mettre en œuvre un consentement aux cookies conforme au RGPD

Mettre en place un consentement approprié à l'utilisation des cookies est une partie cruciale pour rendre votre site web conforme au RGPD. Pour être conforme, le consentement doit être…

En lire d’avantage dans notre article sur les cookies et le RGPD.

Cookiebot est l'une des rares solutions de consentement au cookies qui fait tout cela. Vous ne pouvez pas contrôler Google. Mais en mettant en œuvre Cookiebot, vous pouvez rendre l'utilisation de cookies de votre site web et le suivi en ligne conforme au RGPD.

Ressources


Article : « Comment mettre Google Analytics en conformité au RGPD »
GDPR Report : « GDPR and Google Analytics »
Digital Third Coast : « How does Google Analytics actually work? »
Shivarweb : « What does Google Analytics do? »
Guide pour développeurs de Google : « Google Analytics cookie usage on websites »
Stackoverflow : « What data is collected by Google Analytics (by default) »
Règles de confidentialité de Google
Google Ads Data Protection Terms: Service Information
GOOGLE IN EUROPE Getting ready for Europe’s new data protection rules
Règles relatives au consentement de l'utilisateur dans l'Union européenne
Comment se conformer au RGPD : Check-lists RGPD
Types de cookies utilisés par Google

Nouvelle configuration CCPA 

Cookiebot offre aussi la conformité au CCPA !

 

 

Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui

Faites un essai gratuit