Google Analytics et RGPD
La mise en conformité avec le nouveau règlement sur la protection des données personnelles vous oblige à revoir certains des outils marketing que vous utilisez au quotidien dont Google Analytics, l’un des outils de traitements de données les plus utilisés par les propriétaires de sites. En effet, le RGPD a des impacts considérables sur Google Analytics (mise en conformité depuis le 12 avril 2018). Et pour continuer à utiliser ce service en toute légalité, vous devrez également prendre quelques dispositions.
Les impacts du RGPD sur Google Analytics
Google Analytics est un merveilleux outil. Il vous permet de déterminer le nombre de visiteurs de votre site tout en vous précisant le nombre de ceux qui reviennent. Outre ces éléments, Googles Analytics vous donne également des détails sur les pages visitées, la durée de la visite et le comportement d’un visiteur à chacune de ses visites. Google Analytics obtient ses informations en suivant des données (tracking), ou en terme RGPD, en traitant des données.
Ces données sont de 3 types : des identifiants numériques (comme les cookies), des adresses de protocole internet (adresse IP) et identificateurs de dispositifs ainsi que des identifiants clients. Or, la plupart de ces données sont considérées par la loi comme des données personnelles au sens de l’article 4 du RGPD (est une donnée personnelle toute donnée qui permet d’identifier directement ou indirectement une personne physique).
En d’autres mots, Google Analytics réalise un traitement de données personnelles. Mais le nouveau règlement sur la protection des données personnelles est clair : tout traitement de données personnelles est illicite (sauf exception) s’il est réalisé sans le consentement de la personne concernée, en l’occurrence le visiteur de votre site. Pour simplifier, vous êtes dans l’obligation de bloquer tout usage de Google Analytics avant d’obtention du consentement de vos utilisateurs.
Que faire pour rester en conformité ?
Pour rendre votre Google Analytics conforme avec les dispositions du RGPD, vous devez prendre plusieurs dispositions :
- Contrôler les données personnelles transmises à Google : il s’agira en plus d’activer les filtres proposés par Google Analytics de réaliser des vérifications approfondies. Sur ce point, un audit de conformité pourrait s’avérer nécessaire ;
- Mettre en place un système d’anonymisation : l’adresse IP est considérée par la loi comme étant une donnée personnelle. Et pour cause, même si elle n’apparaît pas dans les rapports que fournit Google, ce dernier peut s’en servir pour localiser une personne. Pour limiter les risques, il est conseillé d’activer la fonction d’anonymisation IP dans Google Analytics ;
- Faire le point sur les identifiants pseudonymes utilisés par votre implémentation Google Analytics.
Outre les points précités, pour utiliser Google Analytics en toute légalité, n’oubliez pas de configurer votre implémentation en suivant la procédure décrite dans les mails envoyés par Google aux administrateurs de compte. Les actions à faire se résument à :
- Accepter l’accord de traitements des données ou DPA : cet accord précise que Google Analytics prend les dispositions nécessaires pour se conformer aux exigences du RGPD, mais que malgré tout, vous restez seul responsable des données que vous collectez ;
- Ajouter les informations sur les entités juridiques responsables de la protection des données au sein de votre organisation : votre contact, le contact de votre DPO et du représentant EEE ;
Configurer le délai de conservation des données et les marqueurs Google Analytics : cette étape est assez technique puisqu’elle peut nécessiter la modification du tag utilisé ou encore l’élaboration d’une page pop-in (tag manager) à partir de laquelle on peut gérer les autorisations des cookies utilisés par votre site.