Google Analytics & RGPD : 5 étapes pour se mettre en conformité

À la base, Google Analytics est un outil d’analyse gratuit de site web s’adressant aux gestionnaires de sites web pour qu’ils puissent mieux comprendre le comportement de leurs clients. Mais pour cela, la fonctionnalité passe outre la protection des données personnelles collectées pour obtenir ces résultats. La mise en conformité avec la nouvelle réglementation RGPD s’avère donc incontournable pour éviter que ne soient appliquées les sanctions entrées en vigueur depuis 2018…

Qu’est-ce que le RGPD ?

Le RGPD ou Règlement Général sur la Protection des Données concerne la protection des données personnelles d’une personne physique. L’identification porte sur plusieurs éléments, comme son nom et son prénom, ou d’autres informations plus personnelles (numéro de sécurité sociale, adresse, compte bancaire, origine…). D’autres facteurs sont aussi pris en considération comme ses goûts, les sites qu’elle consulte le plus, sa région.

Formation webmarketing

Ces éléments, reliés entre eux, contribuent à obtenir des informations plus ou moins précises sur un visiteur. Celles-ci sont ensuite utilisées pour le traitement de données personnelles. Il s’agit d’analyser les informations concernant l’internaute et de déterminer ses centres d’intérêt, éventuellement ses comportements d’achat.

Par la suite, il est plus facile de mieux ajuster les offres en fonction de ses attentes. À noter que si elles se rapportent à une entreprise (nom, domiciliation, adresse email…), elles ne sont pas comprises dans la catégorie des données personnelles.

Qui sont concernés par le RGPD ?

Le RGPD concerne essentiellement le traitement des données personnelles des personnes domiciliées dans l’Espace économique européen. Sa mise en œuvre depuis 2018 prend en considération le développement des nouvelles technologies, des comportements d’achats. Ces évolutions viennent renforcer la Loi française Informatique et Libertés de 1978 permettant à chaque individu de contrôler l’usager que les organisations quelles qu’elles soient peuvent faire des données qui les concernent.

Comment se mettre en conformité avec le RGPD ?

Étape 1 : L’accord de traitement de données

Selon le RGPD, les gestionnaires de sites web ont obligation de demander l’autorisation des usagers pour l’utilisation des cookies et de les informer de ce à quoi ils serviront par la suite. Pour la CNIL, les transferts des données vers les États-Unis par les sites faisant appel à Google Analytics représentent un acte illicite. En effet, cette opération a des failles dans la mesure où il est difficile d’en contrôler l’utilisation qui en sera faite ultérieurement et la sécurité des données personnelles. Cette dernière ne peut être garantie que si toutes les parties prenantes concluent un accord de traitement de données, une première étape pour être en conformité avec le RGPD.

Le DPA est une obligation légale que les signataires de l’accord doivent respecter sans quoi de lourdes sanctions leur seront appliquées. Il est exigé pour toute entreprise ou tout individu prenant en charge le traitement de données personnelles qu’elles soient à l’intérieur de l’UE ou qu’elles en proviennent. Cet accord est valable entre un hébergeur de site web.

Il est également nécessaire quand une entreprise externalise l’e-mailing. À noter que l’opération en soi n’est pas répréhensible, mais elle doit obtenir le consentement libre et sans équivoques des personnes inscrites sur la mailing list. Il en est de même pour la paie. Les seules données pouvant être récoltées dans ce cas se limiteront aux noms, prénoms, adresses, la date de naissance et numéro de sécurité sociale, comme le stipule d’ailleurs l’article L444-5 du Code du travail. Le traitement des données est effectué par une personne désignée responsable qui fait ensuite appel aux services d’un sous-traitant.

Selon les articles 28-36 du RGPD, ce dernier doit respecter des clauses spécifiques. Il s’agit entre autres de fournir toutes les informations y afférentes, telles que la catégorie de données personnelles sur lesquelles il va travailler, mais aussi celle des individus auxquels elles se rapportent. Par ailleurs, les données récoltées doivent être utilisées à des fins bien précises et ne peuvent être conservées que pendant une durée devant être clairement spécifiée. Le sous-traitant est en outre tenu de restituer ou de supprimer les données personnelles lorsque la période préalablement définie arrive à échéance.

Étape 2 : Déterminer la durée de conservation des données personnelles

Comme cela est dit plus haut, la conservation des données n’est pas illimitée. Elle doit correspondre à celle qui est en adéquation avec les objectifs fixés, dans la mesure où elle n’est pas légalement déterminée. Afin de permettre aux utilisateurs de Google Analytics de se mettre en conformité avec le RGPD, il est désormais possible de supprimer tous les profils qui n’ont pas réagi sur le site au cours d’une période de 36 mois.

En outre, il est indispensable de requérir le consentement de chacun d’entre eux, tous les 13 mois pour l’exploitation des cookies. Selon Google Analytics, la conservation des données personnelles sera comprise entre 14 et 50 mois. Sans un accord explicite, elles seront supprimées au cours du mois suivant. Si, entre temps, les propriétaires reviennent sur le site sur lequel leurs données sont répertoriées, la suppression sera de fait reportée à une période ultérieure.  

Étape 3 : Déclarer les organismes ou les personnes physiques en charge du traitement des données

Une rubrique intitulée « Gérer les détails du DPA », située dans la page Administration, est mise à la disposition des administrateurs des traitements des données. Ils ont l’obligation de fournir trois informations majeures, mentionnées par le RGPD, à savoir le nom du contact principal (un organisme, une société ou un individu), les informations sur le délégué à la protection des données qui a pour mission de mener les opérations de mises en conformité au sein de l’organisme. Il devra optimiser la protection des données personnelles des utilisateurs et d’en restreindre l’accès par des tiers.

Il faut également renseigner sur le représentant de l’Espace économique européen. Les trois contacts peuvent être le même pour les entreprises de traitement de données de petite envergure, tandis que celles qui disposent de plusieurs comptes n’ont pas obligation de donner plusieurs contacts.

Étape 4 : La proxification

La CNIL préconise que la mise en conformité passe par l’utilisation d’un serveur proxy, un pont entre l’ordinateur d’un internaute et le serveur utilisés par les sites web. Cette solution contribue à préserver la sécurité des échanges entre les deux parties prenantes. Les liens contenus dans les URL peuvent ainsi être suivis depuis le site référent. Le proxy permet également de rendre anonymes l’identifiant de l’utilisateur et tous les autres identifiants éventuels, tels que l’Adresse IP ou le CRM.

À la sortie du proxy, les données sont dotées d’un pseudonyme réduisant ainsi la possibilité de procéder à la réidentification de l’utilisateur. Cette option n’est cependant pas accessible aux petites structures, car sa mise en œuvre se révèle assez coûteuse, tout en étant assez contraignante. La CNIL propose d’autres alternatives à Google Analytics pour y faire face, parmi lesquels Matomo, qui n’est pas uniquement destiné à la mesure de l’audience sur un site web, mais qui permet aussi de mieux cerner le comportement de navigation des internautes afin d’aboutir à l’optimisation de la conversion.

Étape 5 : Mettre à jour Google Analytics

De son côté, Google a annoncé le remplacement de Google Universal Analytics (celle qui est utilisée actuellement) par Google Analytics 4 à partir du 1er juillet 2023. Cette nouvelle version a pour objectif de mieux préserver les données personnelles qui sont récoltées.

Conclusion

La mise en conformité avec le RGPD est un processus complexe qu’il est cependant indispensable de mettre en application pour ne pas recevoir de mise en demeure. Il faut donc commencer par la configuration de Google Analytics pour que le traitement des données restreigne l’accès aux données personnelles des usagers. Parmi les outils techniques disponibles, l’IP Anonymization qui sert à rendre anonyme l’adresse IP par exemple. Attention, il est pratiquement impossible à l’heure actuelle pour Google Analytics d’être en conformité avec le règlement, puisqu’il ne peut faire une impasse sur la collecte de données personnelles et à leur transfert vers les États-Unis.