À la base, Google Analytics est un outil d’analyse gratuit permettant aux sites Web de mieux comprendre le comportement de leurs clients. Mais pour cela, la fonctionnalité va au-delà de la protection des données personnelles collectées pour parvenir à ces résultats. Le respect de la nouvelle réglementation RGPD est donc indispensable pour éviter l’application des sanctions entrées en vigueur depuis 2018…
Qu’est-ce que le RGPD ?
Le RGPD ou Règlement général sur la protection des données concerne la protection des données personnelles d’une personne physique. L’identification porte sur plusieurs éléments, par exemple son nom et son prénom, ou d’autres informations plus personnelles (numéro de sécurité sociale, adresse, compte bancaire, origine, etc.). D’autres facteurs sont également pris en considération comme ses goûts, les sites qu’elle consulte le plus, sa région.
Ces éléments, liés entre eux, permettent d’obtenir des informations plus ou moins précises sur un visiteur. Ceux-ci sont ensuite utilisés pour le traitement des données personnelles. Il s’agit d’analyser des informations sur l’internaute et de déterminer ses centres d’intérêt, et éventuellement son comportement d’achat.
Il est alors plus facile de mieux adapter les offres à leurs attentes. Notez que s’ils sont liés à une entreprise (nom, adresse, adresse e-mail, etc.), ils ne sont pas inclus dans la catégorie des données personnelles.
Qui sont concernés par le RGPD ?
Le RGPD s’applique principalement au traitement des données personnelles des personnes domiciliées dans l’Espace économique européen. La mise en place depuis 2018 tient compte de l’évolution des nouvelles technologies et des comportements d’achat. Cette évolution vient renforcer la loi informatique et libertés de 1978 qui permet à chaque individu de contrôler l’usage que peuvent faire les organismes de toute nature des données le concernant.
Étape 1 : L’accord de traitement de données
Selon le GDPR, les administrateurs de sites Web ont l’obligation de demander l’autorisation des utilisateurs pour l’utilisation de cookies et de les informer de ce pour quoi ils seront utilisés par la suite. Pour la CNIL, les transferts de données vers les États-Unis à partir de sites Internet utilisant Google Analytics constituent un acte illicite. En effet, cette opération présente des lacunes dans la mesure où il est difficile de contrôler l’utilisation qui en sera faite ultérieurement et la sécurité des données personnelles. Ce dernier ne peut être garanti que si toutes les parties concluent un accord de traitement des données, une première étape pour être conforme au RGPD.
Le DPA est une obligation légale que les signataires de l’accord doivent respecter, sous peine de lourdes sanctions qui leur seront imposées. Il est requis pour toute entreprise ou personne qui traite des données personnelles, qu’elles soient à l’intérieur ou à partir de l’UE. Cet accord est valable entre un hébergeur de site Web.
Il est également nécessaire lorsqu’une entreprise externalise le courrier électronique. A noter que l’opération en elle-même n’est pas répréhensible, mais elle doit obtenir le consentement libre et sans équivoque des personnes inscrites sur la liste de diffusion. Il en va de même pour les salaires. Les seules données pouvant être collectées dans ce cas seront limitées aux nom, prénom, adresse, date de naissance et numéro de sécurité sociale, comme le prévoit l’article L444-5 du code du travail. Le traitement des données est effectué par une personne responsable désignée qui utilise ensuite les services d’un sous-traitant.
Selon les articles 28-36 du RGPD, ces derniers doivent respecter des clauses spécifiques. Cela comprend la fourniture de toutes les informations connexes, telles que la catégorie de données personnelles sur lesquelles elle opérera, mais également celle des personnes auxquelles elles se rapportent. De plus, les données collectées doivent être utilisées à des fins bien précises et ne peuvent être conservées que pendant une durée qui doit être clairement précisée. Le responsable du traitement est également tenu de restituer ou de supprimer les données personnelles à l’expiration de la période précédemment définie.
Étape 2 : Déterminer la durée de conservation des données personnelles
Comme mentionné ci-dessus, le stockage des données n’est pas illimité. Elle doit correspondre à ce qui est conforme aux objectifs fixés, dans la mesure où cela n’est pas prévu par la loi. Pour permettre aux utilisateurs de Google Analytics de se conformer au RGPD, il est désormais possible de supprimer tous les profils n’ayant pas répondu sur le site pendant une période de 36 mois.
Par ailleurs, il est important de demander le consentement de chacun d’eux, tous les 13 mois pour l’utilisation des cookies. Selon Google Analytics, le stockage des données personnelles sera compris entre 14 et 50 mois. Sans accord explicite, ils seront supprimés au cours du mois suivant. Si entre-temps les propriétaires retournent sur le site Web où leurs données sont répertoriées, la suppression sera en fait reportée à une période ultérieure.
Étape 3 : Déclarer les organismes ou les personnes physiques en charge du traitement des données
Une section intitulée « Gérer les détails DPA », située sur la page d’administration, est disponible pour les administrateurs du traitement des données. Ils sont tenus de fournir trois informations importantes, mentionnées par le RGPD, à savoir le nom du contact principal (une organisation, une entreprise ou un particulier), des informations sur le délégué à la protection des données dont la mission est de réaliser les opérations de mise en conformité au sein de l’organisation. Il doit optimiser la protection des données personnelles des utilisateurs et limiter l’accès aux tiers.
Il est également nécessaire de se renseigner sur le représentant de l’Espace économique européen. Les trois contacts peuvent être les mêmes pour les petits processeurs de données, tandis que ceux qui ont plusieurs comptes ne sont pas tenus de fournir plusieurs contacts.
Étape 4 : La proxification
La CNIL recommande que la mise en conformité impose l’utilisation d’un serveur proxy, passerelle entre l’ordinateur de l’internaute et le serveur utilisé par les sites Internet. Cette solution permet de préserver la sécurité des échanges entre les deux parties. Les liens contenus dans les URL peuvent ainsi être suivis depuis le site Internet référent. Le proxy permet également d’anonymiser l’identifiant de l’utilisateur et tous les autres identifiants éventuels, comme l’adresse IP ou le CRM.
En quittant le proxy, les données sont munies d’un pseudonyme, ce qui réduit la possibilité de ré-identifier l’utilisateur. Cependant, cette option n’est pas disponible pour les petites structures, car la mise en œuvre est assez coûteuse, tout en étant assez contraignante. La CNIL propose d’autres alternatives à Google Analytics pour y faire face, dont Matomo, qui n’a pas seulement vocation à mesurer l’audience d’un site internet, mais permet également de mieux comprendre le comportement de navigation des internautes afin d’aboutir à une optimisation des conversions.
Étape 5 : Mettre à jour Google Analytics
De son côté, Google a annoncé que Google Universal Analytics (celui actuellement utilisé) sera remplacé par Google Analytics 4 à partir du 1er juillet 2023. Cette nouvelle version vise à mieux préserver les données personnelles collectées.
Conclusion
La mise en conformité au RGPD est un processus complexe, mais il est important de l’utiliser afin de ne pas recevoir de mise en demeure. Il faut donc commencer par le paramétrage de Google Analytics afin que le traitement des données limite l’accès aux données personnelles des utilisateurs. Parmi les outils techniques disponibles figure l’anonymisation IP, qui permet par exemple d’anonymiser l’adresse IP. Veuillez noter qu’il est actuellement pratiquement impossible pour Google Analytics de se conformer à la réglementation, car il ne peut ignorer la collecte de données personnelles et leur transfert aux États-Unis.