Rédigé par

Etienne Alcouffe

GDPR et Google Analytics : ce qu’il faut savoir

octobre 8, 2018

 

La protection des données des utilisateurs dans l’Union européenne a fortement évolué en 2018 et des règles ont été mises en place pour que les utilisateurs puissent avoir davantage de contrôle sur leurs données personnelles.

 

Ces nouveautés permettent aussi aux entreprises de bénéficier de règles du jeu équitables.

 

Le Règlement général sur la protection des données impose la mise en place de système de contrôle et d’avertissement pour les utilisateurs.

 

Google Analytics collecte des données en provenance des visiteurs, le service a donc l’obligation de se conformer au RGP de l’UE.

 

 

Une mise à jour automatique ?

 

 

Depuis le 25 mai 2018, Google a mis en place une mise à jours de son outil d’analyse afin de permettre aux gestionnaires de pouvoir être rapidement en conformité avec ces nouvelles règles.

 

La mise à niveau a pour but d’anticiper afin de ne pas subir les conséquences d’une collecte illégale des données.

 

Dans un premier temps, il est nécessaire de faire le point sur les données que vous récoltez depuis l’outil analytics.

 

 

 

 

Google analytics ne récolte pas, mais analyse : est-il concerné ?

 

 

La nouvelle loi de protections des données des utilisateurs va beaucoup plus loin que le contrôle de la collecte brute de données sur un formulaire.

 

Il s’agit maintenant de protéger les utilisateurs des systèmes permettant de les identifier « directement ou indirectement » en utilisant des moyens techniques.

 

Ces données entièrement automatisées dans le cadre de statistique sont considérées comme des données sensibles, et de par le fait sont concernées par ces nouvelles réglementations.

 

Bien que les données ne soient pas complètement transparentes et découpées pour chacun utilisateurs dans les rapports généraux, la collecte demande un accès à plusieurs informations comme :

 

– L’adresse IP
– Les cookies
– Adresse e-mail (si connecté sur Google)

 

Vous n’êtes logiquement pas en capacité de remontée précisément sur un utilisateur avec les données reçues de manière groupée. Mais si cela était le cas vous seriez nécessairement dans l’obligation de vous mettre en conformité.

 

Le fonctionnement de GA et des outils pour pister les utilisateurs doivent tous être revus et étudier.

 

 

 

 

Les étapes à suivre pour mettre son compte Google Analytics en conformité avec la GDPR :

 

 

1 — Faire un audit des données que vous récoltez

 

 

La première chose à faire lorsque vous décidez de vous mettre en conformité avec les nouvelles réglementations de l’Union européenne sur la protection des données, c’est de réaliser un audit des données que vous récoltez.

 

Vérifiez vos URL de page, titres de page et autres données pour vous assurer qu’aucune information personnellement identifiable n’est collectée.

 

La capture d’une URL de page peut contenir les données « email/chaîne de requête ».

 

Si tel est le cas, vous risquez de transmettre des informations à d’autres technologies marketing utilisées sur votre site !

 

Assurez-vous que, toutes les données saisies dans les formulaires par vos utilisateurs et qui sont également collectées par Google Analytics ne contiennent pas de données personnelles.

 

C’est maintenant aussi votre responsabilité de contrôler et d’avoir une vision précise des données que vous collectez. L’heure est à la restriction des informations collectée, ne récupérez que celles dont vous avez vraiment besoin, les gestionnaires de site internet doivent assumer la responsabilité et la protection des données personnelles collectées.

 

Il n’est plus question de pister les utilisateurs ou de revendre les données à des tiers n’importe comment.

 

La loi est passée par là comme suite aux scandales de ces derniers mois. Mais aussi de par la volonté populaire de protéger au maximum les données.

 

Il existe aujourd’hui une vraie prise de conscience globale grâce aux médias. Tout cela au grand regret des marketeurs et annonceurs : probablement un mal pour un bien.

 

 

2 — Activer l’anonymisation IP

 

 

Les nouvelles réglementations considèrent l’adresse IP comme une donnée sensible et personnelle. Elle est utilisée notamment pour géolocaliser les visiteurs.

 

Bien que Google analytics ne propose pas les adresses IP par utilisateurs dans les rapports (pas directement), la politique de confidentialité empêche le stockage des adresses.

 

 
Comment activer l’anonymisation IP dans GA ?

 

 

Pour activer l’anonymisation, vous disposez de plusieurs options :

 

–Modifier le TAG GTM par une balise complémentaire

 

 

Comment activer l’anonymisation IP dans GA ?

 

 

Vous devriez ensuite voir votre code de suivi analytics apparaître comme ceci :

 

 

Vous devriez ensuite voir votre code de suivi analytics apparaître comme ceci :

 

 

Si vous disposez d’un compte sur Google Tag Manager vous pouvez activer la fonctionnalité d’anonymisation IP.

 

 

Pour ajuster votre variable de paramètres Google Analytics, cliquez sur :

 

 

– Autres paramètres -> Champs à définir, puis ajouter le code :


» anonymizeIp’ avec la valeur « true ».

 

 

Pour obtenir plus d’information sur la manière de rendre anonymes les adresses IP dans Google Analytics. Rendez-vous sur l’article du support de GA.

 

 

3 — Accepter les nouvelles conditions d’Analytics

 

 

Depuis le 25/05/2018 Google a mis en place des nouvelles conditions pour rendre conforme l’outil avec les réglementations liées au GDPR.

 

Acceptez ces conditions vous permet de vous couvrir et d’accepter les nouveaux termes.

 

 

4 — La « Pseudonymisation » est un nouveau concept dans le droit européen pour la protection des données

 

 

La pseudonymisation est la séparation des données des identificateurs directs, de sorte que le lien avec une identité n’est pas possible. La procédure de suppression de l’identification des données permet de remplacer les champs identifiables par des pseudonymes.

 

L’idée est de transformer l’identification des données personnelles des utilisateurs par une stratégie « User id » plus anonyme.

 

Si vous collectez et stockez des données comme des adresses email. Il vous faudra utiliser un cryptage. Google a une exigence minimale de SHA256.
Le lien entre le pseudonyme et l’utilisateur peut être maintenu à condition d’être stocké dans une base différente et avec le cryptage adéquat.

 

Par exemple, le nom, l’anniversaire, l’adresse et le numéro de compte bancaire d’un client seront convertis en un ensemble d’identificateurs totalement aléatoire et anonyme.

 

Si vous collectez un identifiant d’utilisateur ou d’autres identificateurs pseudonymes. Vous devrez obtenir le consentement de l’utilisateur.

 

 

5 — Option opt in/out ou demande du consentement explicite de collecte de données

 

 

Depuis un certain temps, vous avez sûrement remarqué que l’on vous demande avant d’entrer sur un site. Si vous acceptez la collecte de donnée relative à votre navigation ou vos cookies.

 

Vous avez maintenant besoin du consentement explicite (via opt in) de vos utilisateurs. Et vous devez vous assurer que votre politique de confidentialité explique cette collecte de données et son objectif.

 

Si l’utilisateur clique sur « oui » ou « opt-in ». Le chargement de la page ou Google Analytics (et / ou d’autres scripts martech) commence à s’exécuter.

 

Les utilisateurs doivent recevoir des options et des instructions claires sur les cookies qu’ils peuvent rejeter ou accepter

 

S’ils refusent vos conditions, vous devrez garantir l’anonymisation de la navigation ou la fermeture de la page correspondante.

 

Tous les enregistrements du consentement doivent être enregistrés et stockés par le propriétaire du site

 

En tant que propriétaires de sites internet membres de l’UE, vous devez mettre en place une politique de confidentialité qui doit inclure des détails sur la manière dont les données des utilisateurs seront traitées.

 

Google Analytics n’est qu’un outil qui lui est maintenant conforme aux nouvelles réglementations.

 

Néanmoins, vous devrez noter qu’en aucun cas Google ne peut vous garantir la conformité complète de votre site incluant Analytics.

 

Il est nécessaire pour cela de vérifier chacun des points de collecte de données pour voir s’il rentre dans les termes du règlement général sur la protection des données ;

 

Pour en savoir plus sur les services et règles de confidentialités de Google :

 

https://policies.google.com/privacy

Réforme de 2018 des règles de protection des données de l’UE