Afin de se mettre en conformité avec la nouvelle réglementation RGPD, voici les 4 étapes essentielles à mettre en place avec / pour Google Analytics. Cette intervention pourra se faire pour partie directement dans l’interface d’administration de votre propriété Google Analytics mais nécessitera également une intervention plus technique à faire réaliser par votre agence analytics.
En tant que propriétaire d’un compte Google Analytics, vous avez dû recevoir dans votre boîte mail un message de la part de Google Analytics dont l’objet est:
« [Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) ».
Ce mail correspond à la mise en conformité de Google Analytics avec le règlement Général sur la protection des données ou RGPD pour les intimes. Il s’agit de réaliser plusieurs actions sur votre compte Google Analytics et ce, avant le 28/05/2018, date de mise en application de ce règlement.
Mais rien d’alarmant dans cette première étape. Seules 3 actions sont nécessaires à ce stade et s’activent directement dans l’interface de Google Analytics.
- Accepter l’accord de traitement des données (DPA)
- Déclarer les administrateurs du traitement des données
- Valider le temps de rétention des données
Étape 1 : l’accord de traitement des données (DPA)
Le DPA, n’est ni plus ni moins qu’un contrat de partenariat entre votre société (le Data Controller) et Google Analytics (le Data Processor).
Dans cet accord Google Analytics précise qu’il met tout en œuvre pour se plier à la RGPD, mais que vous restez tout de même responsable des données que vous collectez. Cela veut dire que si vous collectez des données personnelles, c’est de votre ressort.
Où trouver l’accord de traitement des données et l’accepter ?
Sur Google Analytics, rendez-vous dans Administration > Paramètres du compte > Consulter la modification :
Cette action ouvre l’accord de traitement des données qu’il suffira de valider :
Étape 2 : déclarer les administrateurs du traitement des données
Ici, l’objectif est de déclarer votre entreprise et les administrateurs en charge du traitement de vos données.
On retrouve cette configuration dans la page : Administration > Paramètres du compte >, mais cette fois ci, vous cliquerez sur «Gérer les détails du DPA » :
A cette étape, Google Analytics vous demandera de renseigner les informations de contact de votre entreprise et de renseigner les 3 profils demandés par la RGPD, à savoir :
- Un contact principal
- Le contact de votre DPO (Chargé de la protection de vos données)
- Un représentant EEE (Espace Économique Européen).
NB : pour les petites structures, seul le contact principal est obligatoire et les 3 contacts peuvent être la même personne.
Pour les entreprises possédant un nombre important de comptes, il est également possible de ne déclarer qu’une seule fois l’organisation et les différents contacts puis de rattacher l’ensemble des produits Google Analytics à cette organisation.
Étape 3 : configurer le délai de conservations des données
Afin de se mettre en conformité avec la nouvelle réglementation RGPD, Google Analytics propose désormais une nouvelle fonctionnalité de « conservation des données ». Pour rappel, dans le cadre de la RGPD, un visiteur inactif pendant 3 ans (36 mois) doit être supprimé ou mis dans une liste d’opposition. Tous les 13 mois, le consentement doit de nouveau être demandé pour le traitement des cookies. C’est à cela que sert cette nouvelle option dans Google Analytics. A définir le temps de conservation des données.
Afin de définir cette option, vous devez disposer des droits de modification relatifs à la propriété, puis :
- Rendez vous dans la propriété (partie “Administration”) pour laquelle vous souhaitez faire les modifications.
- Dans le menu gauche, accédez à “Informations de suivi > Conservation des données”.
- Sélectionnez la durée de conservation de votre choix.
Activer la conservation de données sur Google Analytics / RGPD
5 options temporelles sont disponibles :
- 14 mois
- 26 mois
- 38 mois
- 50 mois
- Aucune expiration automatique.
Comme vous pouvez le constater, aucune des périodes ne correspond au règlement du RGPD ! Une fois la période atteinte, la suppression des données se fera le mois suivant.
A cela s’ajoute une option « Réinitialiser lors d’une nouvelle activité » qui, si elle est activée va repousser la suppression des données de X mois dès lors que l’internaute fera une action sur votre site.
A ce stade de la configuration, vous devriez être assez en accord avec le RGPD, mais cela n’est que la partie immergée de l’iceberg. En réalité, en mettant en place ces 3 premières actions, vous vous mettez surtout en accord avec Google Analytics. Mais le règlement de la RGPD va beaucoup plus loin et va nécessiter de configurer vos différents marqueurs.
Étape 4 : Configurer vos marqueurs Google Analytics
Actuellement Google Analytics ne le propose pas nativement, mais le règlement de la RGPD demande
- Une durée de cookie inférieure à 13 mois. Or le cookie de « _GA» dure 24 mois.
- Une anonymisation des ips qui transfèrent dans les bases de données de Google Analytics
- La suppression de l’ensemble des données personnelles
- Et des opt-in de consentement que vous serez obligés de proposer à vos internautes.
Autant les 3 premières étapes peuvent techniquement se régler facilement (modulo la technologie de tag utilisée, le nombre de marqueurs à mettre à jour) autant la dernière étape est assez complexe, car les opt-in de consentement doivent s’inscrire dans une démarche globale d’acceptation des cookies.
Par démarche globale, nous entendons, une seule pop-in ou page d’information capable de lister l’ensemble des cookies qu’utilisent votre site et d’en gérer les autorisations. C’est par exemple ce que fait déjà le site de la CNIL, avec ce type de bandeau ou chaque internaute a le choix d’accepter les cookies solutions par solutions.
Et bien entendu, les données de Google Analytics devront être intégrées à ce type d’outil avec un consentement explicite de vos internautes.
Téléchargez notre livre blanc RGPD Besoin d’une agence certifiée google analytics ?
