Google Analytics et RGPD : un mariage parfois perdant !
Faites-vous partie des 65 % des sites web français utilisant Google Analytics pour l’analyse et la mesure de votre audience ? Vous pourriez aller à l’encontre des principes du RGPD (Règlement Général sur la Protection des Données)…
Dans cet article, nous allons vous expliquer les problèmes que peut causer l’outil d’analyse de Google et comment le paramétrer pour assurer sa conformité !
La mise en demeure de la CNIL
Février 2022, la CNIL (Commission Nationale d’Informatique et des Libertés) annonce la mise en demeure d’un gestionnaire de site utilisant Google Analytics pour violation du RGPD.
D’après la commission, le transfert des données des internautes vers les États-Unis n’est pas suffisamment encadré à l’heure actuelle. Les services de renseignements américains peuvent toujours accéder aux données personnelles des visiteurs d’un site web fonctionnant avec Google Analytics.
Vous avez donc le choix entre abandonner cet outil ou le configurer pour qu’il se conforme aux règles du RGPD.
Pour rappel, le Règlement Général sur la Protection des Données exige de :
- Recueillir le consentement de vos visiteurs avant de collecter leurs données
- Les conserver pendant une période donnée
- Garantir la sécurité et la confidentialité des données recueillies
Google Analytics et RGPD : plusieurs problèmes se posent
Le principal problème de Google Analytics avec le RGPD vient du fait qu’il stocke les données des utilisateurs, y compris les informations sur les résidents de l’UE, sur des serveurs basés aux États-Unis. En outre, Google LLC est une entreprise américaine, donc soumise aux lois d’outre-Atlantique. Ce qui se combine difficilement avec le RGPD, typiquement européen. Mais ce n‘est pas tout ! Google Analytics pose 2 autres soucis de conformité :
1. Une utilisation opaque des données
Les données de Google Analytics sont utilisées par la maison-mère pour améliorer ses services. Les informations recueillies sur la plateforme sont partagées avec d’autres produits, notamment Google AdSense, Google Ads et YouTube. Elles offrent à Google de nombreux renseignements sur les internautes, comme leur genre et leur localisation.
Grâce au code Google Analytics présent sur votre site web, les annonceurs identifient les préférences de vos visiteurs en fonction du contenu qu’ils consomment. Une pratique qui permet à Google de recibler ces derniers avec des publicités personnalisées et parfois intrusives.
Tout cela va à l’encontre des principes d’anonymat et de confidentialité prônés par le RGPD.
2. Un cadre de consentement peu fiable
Google Analytics enregistre chaque utilisateur avec un identifiant unique, ce qui vous permet de comptabiliser le nombre de visiteurs qui parcourent votre site sur une période donnée, mais aussi de repérer ceux qui reviennent.
Le RGPD considère ces identifiants comme des données personnelles. Or, ces dernières font rarement l’objet d’un consentement éclairé sur les sites web.
À lire aussi : 10 alternatives à Google Analytics
5 conseils pour mettre en conformité Google Analytics au RGPD
Afin d’aider les internautes européens à se mettre en conformité avec le RGPD, Google Analytics a introduit certains changements et paramètres dans son outil.
Voyons comment utiliser ses fonctionnalités pour répondre aux exigences du Règlement Général sur la Protection des Données.
1. Anonymiser les adresses IP
86% des sites web utilisant Google Analytics n’anonymisent pas les adresses IP de leurs visiteurs.
Dans le cadre du RGPD, une adresse IP est considérée comme une donnée personnelle. Même si elle ne figure pas dans votre rapport, Google Analytics s’en sert pour proposer des renseignements sur la géolocalisation des internautes.
Cependant, l’outil d’analyse dispose d’une option qui vous permet d’anonymiser l’adresse IP en éliminant le dernier octet avant de la stocker ou de la traiter. Cette dernière devient alors XXX.XXX.XXX.0.
L’option d’anonymisation nécessite une petite visite dans votre Google Tag Manager pour modifier le code ou ajouter une nouvelle variable.
- Dans la section « Balises », choisissez Google Analytics.
- Cliquez sur « Autoriser le remplacement des paramètres dans cette balise » et déroulez le menu « Plus de paramètres », puis « Champs à définir ».
- Cliquez sur le bouton « Ajouter un champ » et remplissez :
- Nom du champ avec anonymizeIp
- Valeur avec true
Le code modifié remplacera le dernier octet des adresses IPv4 et les 80 derniers bits des adresses IPv6 par des zéros, les rendant ainsi non identifiables… et conformes au RGPD !
2. Réduire la collecte des données par les cookies tierces
L’outil d’analyse américain collecte automatiquement des données sur votre trafic pour affiner ses fonctions publicitaires. Or, ces cookies tierces constituent sans doute la partie de la navigation en ligne qui entrave le plus la conformité entre Google Analytics et le RGPD. Heureusement, vous pouvez désactiver cette option :
- Sur votre interface Google Analytics, rendez-vous dans votre panneau d’administration.
- Dans le menu « Propriété », allez à la rubrique « Informations de suivi », puis « Collecte de données ».
- Désactivez les options « Remarketing » et « Fonctionnalités de création de rapports sur la publicité ».
Google indique que, dans certains cas, vous pouvez remplacer les cookies par votre propre mécanisme de stockage, tel que localStorage ou un service worker. En stockant les données sur votre propre serveur, vous disposez de plus de flexibilité pour gérer les cookies et les autorisations.
Si vous souhaitez paramétrer un tel processus, il vous faudra sûrement faire appel à un développeur professionnel.
3. Configurer le délai de conservation des données
Google a introduit de nouveaux paramètres de conservation des données. Ces derniers vous permettent de contrôler la durée pendant laquelle les informations des utilisateurs sont stockées, avant d’être automatiquement supprimées.
Par défaut, ce délai est de 26 mois alors que le RGPD exige qu’il soit de 13 mois pour les cookies publicitaires et 24 mois pour les cookies d’audience.
Vous devrez donc modifier ce laps de temps pour être en conformité.
- Si ce n’est pas déjà fait, vous devrez passer à Google Analytics 4 pour avoir accès à cette nouvelle règle. Normalement, vous devez avoir un bandeau en haut de votre interface, qui vous permet d’effectuer cette transition en quelques minutes.
- Dès que le process de conversion est terminé, retournez sur votre panneau d’administration Google Analytics.
- Toujours dans « Propriété », sélectionnez « Paramètres des données », puis « Conservation des données ».
- Vous pourrez choisir entre 2 et 14 mois. Étant donné les règles établies par le RGPD, nous vous recommandons de sélectionner 2 mois.
Vous avez fait un pas de plus vers la mise en conformité de Google Analytics avec le RGPD !
4. Mettre à jour l’accord de traitement des données
Le RGPD exige que les responsables du traitement des données signent des accords avec les sous-traitants. C’est dans ce cadre que Google a apporté des modifications importantes à ses conditions de traitement des données. Il a établi un contrat de partenariat nommé DPA (Data Protection Agreement) : vous avez le statut de « Data collector » tandis que Google Analytics a celui de « Data Processor ».
Ce nouveau document énumère vos responsabilités, telles que l’information et l’obtention d’un consentement valide des résidents européens. Il stipule que vous devez divulguer, aux utilisateurs, les informations collectées par Google Analytics, y compris les détails des cookies, dans votre politique de confidentialité.
Ce contrat vous oblige aussi à informer les visiteurs sur la façon dont ils peuvent se désengager de l’outil et empêcher la collecte de leurs données.
En résumé : cet accord stipule que vous restez responsable des données collectées et que la firme de Mountain View s’engage à respecter le RGPD.
Si ce n’est pas fait, veillez à le mettre à jour et à le signer. Pour ce faire :
- Dans votre panneau d’administration Google Analytics, cliquez sur « Paramètres du compte ».
- Tout en bas, cliquez sur « GÉRER LES DÉTAILS DU DPA ».
- Pour que votre utilisation de Google Analytics soit conforme au RGPD, remplissez les données demandées. L’objectif est d’identifier clairement le « Data Collector » de votre entreprise.
Lorsque les renseignements sont complets, retournez sur la page précédente et enregistrez les modifications.
5. Trouver des alternatives à Google Analytics
Faire fonctionner Google Analytics et RGPD de concert est assez technique, comme vous pouvez le constater ! La solution peut être de se tourner vers des alternatives, validées par la CNIL, qui vous assurent la conformité au Règlement Général sur la Protection des Données.
Matomo
Très populaire, Matomo est utilisé par plus d’un million de sites internet répartis dans 190 pays. Parmi les noms connus, on retrouve la NASA, les Nations-Unies, Ahrefs, Huawei et même Amnesty International.
Logiciel open-source, cette alternative à Google Analytics vous permet d’être pleinement propriétaire des données que vous collectez. Ce qui offre une transparence totale et une conformité avec le RGPD.
Côté statistiques, vous obtenez les mêmes informations afin d’analyser votre trafic et les performances de vos contenus.
Plausible
Similaire à Google Analytics, Plausible fonctionne en intégrant un script sur votre site web. Très léger, il n’entrave pas les performances de votre site internet.
Cet outil garantit que vos données statistiques sont privées par défaut, mais vous permet de les rendre publiques afin que tout utilisateur disposant du lien puisse les consulter. De quoi assurer une transparence totale auprès de vos visiteurs et d’augmenter leur confiance !
Par ailleurs, Plausible est 100% RGPD friendly puisqu’il n’utilise aucun cookie et ne collecte aucune donnée personnelle.
Piwik Pro
Si vous recherchez une solution complète pour votre entreprise, pensez à Piwik. Cette suite marketing et analytique est conçue pour répondre aux réglementations les plus strictes en matière de confidentialité des données. Utilisée par LinkedIn, Microsoft ou encore Accenture, sa fiabilité n’est plus à démontrer.
Avec Piwik, vous êtes libres des données que vous collectez. Vous pouvez, notamment, exclure une adresse IP, un agent utilisateur, une URL de requête et tout utilisateur qui refuse le suivi, bien entendu. Cela n’empêche pas l’outil de vous renseigner sur le comportement et le parcours de vos visiteurs, afin d’améliorer vos contenus et l’interface de votre site web.
Notre astuce pour rendre Google Analytics conforme RGPD
Mettre en conformité Google Analytics avec le RGPD demande une parfaite connaissance des lois et des paramétrages de l’outil d’analyse de Google. Si vous voulez être sûr à 100% d’être en règle, nous vous recommandons vivement de faire appel à un professionnel sur Codeur en déposant gratuitement une annonce pour trouver un développeur web qui pourra mettre en place pour vous Analytics.