Back to Blog

Conformité RGPD - Comment configurer Google Analytics ?

Maxime JAILLET

Vous utilisez Google Analytics sur votre site web ? Découvrez comment le configurer efficacement pour le rendre respectueux des exigences RGPD.

Paramétrage de la durée, anonymisation des adresses IP, revue contractuelle, implémentation d’un consent mode… Les actions à mettre en place sont nombreuses.

On vous aide à y voir plus clair. C’est notre product news du jour.

Pourquoi se préoccuper de la conformité RGPD des cookies Google Analytics ?

Google Analytics est un puissant outil d’analyse du trafic de votre site. Il vous permet d’obtenir une compréhension profonde des comportements de navigation de vos utilisateurs.

Recourir à Google Analytics nécessite d’insérer dans le code source de vos pages des balises Javascript. Ces balises s’exécutent lors du lancement de votre site. Les requêtes adressées par votre site aux serveurs de Google conduisent au dépôt de cookies utilisés pour de la mesure d’audience.

Ces cookies contiennent un identifiant utilisateur unique permettant de stocker de reconstituer un parcours individuel de navigation sur votre site.

La question de la conformité RGPD est donc prégnante.

  • L’utilisation de cookies analytics est encadrée par des obligations légales impliquant notamment de recueillir et tracer les consentements et oppositions ;
  • Dans certains cas, vous utilisez Google Analytics uniquement pour mesurer votre trafic et travailler l’ergonomie du site. Mais dans d’autres situations, les données de navigation sont utilisées pour personnaliser des campagnes publicitaires, par exemple en utilisant l’outil Google Ads.
  • Google exploite les données pour ses finalités propres.

Signez un Data Protection Agreement englobant l’utilisation de Google Analytics

Google est votre fournisseur de solution de mesure d’audience. C’est-à-dire votre sous-traitant en matière de traitement de données personnelles.

Un contrat vous lie à cette société. C’est donc l’occasion de refaire le point sur l’encadrement contractuel existant :

  • Téléchargez et signez un Data Protection Agreement. C’est un document contractuel spécifique définissant les obligations que Google doit respecter ;
  • Revoyez les règles contractuelles applicables. L’utilisation de fonctionnalités de publicités Google Analytics vous amène par exemple à devoir respecter certains engagements.

Minimisez la collecte de données par les cookies Google Analytics

Gardez le pouvoir concernant les données que votre prestataire de mesure d’audience collecte pour votre compte.

Plusieurs mesures sont donc à prendre :

  • Connectez-vous à l’interface d’administration de la solution et appliquez les filtres proposés par Google pour minimiser la collecte de données ;
  • Vous transmettrez les URL de vos pages visitées à Google via son outil Google Analytics. Vérifiez par conséquent ces URL, assurez-vous qu’elles ne contiennent pas de donnée personnelle en clair (numéro de téléphone, adresse email, nom…).

Activez l’anonymisation des adresses IP avant stockage par Google Analytics

L’adresse IP est considérée par la CNIL comme une donnée personnelle présentant un certain niveau de sensibilité.

Ne collectez cette donnée que dans la stricte mesure nécessaire. Certes, si vous tronquez une partie des adresses IP collectées, cela impacte la précision des rapports géographiques. Mais ce niveau de précision vous était-il réellement nécessaire ?

Comment procéder pour anonymiser les adresses IP collectées ? En supprimant le dernier octet de l’adresse IP.

  • L’outil Google Tag Manager vous permet de configurer le tag Google Analytics pour le rendre RGPD-friendly.
  • A défaut, votre système de gestion des balises peut vous permettre également d’opérer la manipulation.
  • Enfin, vous pouvez intervenir sur le code source de la balise Javascript de Google Analytics et insérer un paramètre.

Réduisez la durée de vie des cookies Google Analytics

Configurer Google Analytics correctement signifie aussi cadrer la durée de vie des cookies qui, par défaut, dépasse celle autorisée par la CNIL.

  • 13 mois, notamment pour les cookies publicitaires ;
  • 24 mois pour les cookies d’audience.

Vous devrez donc modifier cette durée correctement soit via Google Tag Manager soit en intervenant dans le code source de la balise javascript.

Vérifiez la liste des identifiants pseudonymes utilisés par Google Analytics

Identifiant de l’utilisateur, identifiant de transaction… Cette solution de mesure d’audience utilise plusieurs identifiants uniques.

Assurez-vous qu’il s’agit d’identifiants alphanumériques. Ils ne doivent pas comporter de données personnelles écrites en clair (telles qu’une adresse email ou un nom de famille).

Actualisez la politique de confidentialité et la rubrique cookies de votre site web

Rappelez-vous, votre site web doit comprendre des rubriques d’informations dédiées. Celles-ci permettent d’apporter une information claire sur la manière dont vous collectez et traitez les données personnelles de vos utilisateurs.

  • Assurez-vous que votre site web comporte une politique de confidentialité. Mettez-là à jour :
  • Mentionnez la finalité d’analyse du trafic du site pour améliorer notamment l’ergonomie du site web. Précisez (si vous avez bien fait le nécessaire ! ) que les données collectées sont anonymisées.
  • Revoyez la liste des données traitées et préciser que le recours à une solution de mesure d’audience entraîne le transfert de données personnelles vers les Etats-Unis. C’est en effet le cas avec la solution Google Analytics.
  • Revoyez également la rubrique d’information dédiée aux cookies. Intégrez un volet relatif à la mesure d’audience expliquant le fonctionnement des cookies analytics et leur utilité.

Sécurisez vos cookies Google Analytics grâce au mode consentement

Le 03 septembre 2020, Google a annoncé lancer son mode consentement.

Le mode consentement permet de conditionner l’exécution des services Google (Google Ads, Google Analytics, par exemple) par votre site web en fonction de l’état des consentements de vos utilisateurs.

Techniquement, si vous utilisez une solution de gestion des cookies, telle que celle proposée par Axerptio, celle-ci collecte et stocke une trace numérique de consentement ou d’opposition au dépôt des cookies analytics ou publicitaires.

Cette information est transmise par votre solution au Consent Mode de Google. Les paramètres de balise analytics_storage et ad_storage permettent au module de consentement de contrôler le fonctionnement du module analytics en fonction du consentement donné.

A quoi sert le mode consentement de Google ?

  • L’utilisateur visite votre site, pour la première fois ou pas.
  • Il bénéficie de votre module de gestion des cookies et exprime un choix. Considérons qu’il refuse le dépôt de cookies à des fins analytics ou publicitaires.
  • La solution de gestion des cookies enregistre cette action et la transmet au consent mode.
  • Les solutions analytics et publicitaires de Google continuent de fonctionner sur votre site web mais d’une façon plus limitée et sans déposer de cookie. Ainsi, l’éditeur du site web que vous êtes respecte les choix de votre audience concernant la possibilité d’utiliser des traceurs.

Restez en veille concernant les transferts de données hors UE

Le Privacy Shield sécurisait jusqu’ici le transfert de données personnelles vers les Etats-Unis.

Ce transfert peut par exemple découler de la collecte de données d’audience via une solution fournie par un acteur établi aux Etats-Unis.

Or ce protocole a récemment été invalidé. Ce lien vous fournit une checklist des actions à mener pour sécuriser ces transferts de données. Des recommandations devraient être émises à ce sujet par les régulateurs européens.

Envisagez des alternatives à Google Analytics

Google Analytics est un outil puissant de mesure d’audience. Il permet de vous restituer de nombreux indicateurs liés au trafic de votre site. Or vous n’avez pas forcément besoin de tous ces indicateurs.

Pire, si vous éditez un site basique avec des fonctionnalités limitées, vous risquez surtout de vous noyer dans la masse des données mises à votre disposition.

Des alternatives existent, à la fois plus adaptées à vos besoins et plus respectueuses de la protection des données personnelles.

Pour en savoir plus, consultez notre article sur les alternatives à Google Analytics.

Conclusion : sauvez votre conformité RGPD, configurez Google Analytics

Encadrement contractuel, paramétrage de l’interface d’administrateur, actualisation du code source, revue de votre politique de confidentialité…

Nous vous avons dressé la checklist des actions à mener pour sauver la mesure de l’audience de votre site. Certaines mesures requièrent une action plutôt juridique, d’autres des compétences en développement.

Au final, il s’agit d’optimiser l’utilisation de cette solution dans un cadre respectueux des données personnelles de vos utilisateurs.

Share on social media: 

Ne partez pas si vite ... 

RTB et publicité programmatique - Le framework de l’IAB viole-t-il le RGPD ?

Le dernier rapport de l’Autorité de Protection des Données belge conclut que le framework TCF de l’IAB ne respecte pas le RGPD. Les constats effectués sont accablants. Mais ce n’est qu’un rapport, pas une décision. La procédure de l’APD poursuit donc son cours. Pour les éditeurs de sites web, c’est par contre peut-être le moment de passer au marketing choisi.

Lire la suite

Axeptio a parlé cookies au 28e congrès de l’ACE

Le 15 octobre dernier, Axeptio a participé à un atelier sur les cookies. Ca tombe bien, la CNIL a dernièrement publié ses nouvelles lignes directrices et recommandations. Pour Axeptio, c’était l’occasion de présenter notre philosophie autour de notre module de gestion de cookies.

Lire la suite

Comment appliquer des durées de conservation à vos données personnelles ?

Mettez en place une politique de gestion des durées de conservation de vos données personnelles. Obligation légale de limiter le stockage et l’utilisation au strict nécessaire, c’est aussi un bon moyen de maîtriser votre risque en n’exploitant que des données pertinentes. Nous faisons un saut chez la société Choucroute pour voir comment procéder.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.