Vous possédez un site web pour votre activité professionnelle et utilisez Google Analytics ? Dans ce cas, lisez attentivement ce qui suit, car vous pourriez avoir besoin de modifier certains paramètres, dans un souci de conformité avec le RGPD. La nouvelle réglementation impose désormais d’obtenir le consentement des internautes avant toute collecte de données personnelles. Est-il nécessaire de le demander avant de recueillir des données comportementales ? Comment configurer son compte Google Analytics de manière à rester conforme au RGPD ? Nous faisons le point et répondons aux questions les plus courantes dans cet article.
Mon compte Google Analytics recueille-t-il des données personnelles ?
Si vous n’avez jamais touché aux paramètres de votre compte GA, il y a fort à parier que ce soit le cas. Google Analytics collecte plusieurs types de données sur vos visiteurs et certaines d’entre elles rentrent en effet dans la catégorie des données à caractère personnel, comme les adresses IP. Pour rappel, toute information permettant l’identification directe ou indirecte d’une personne est considérée comme une donnée personnelle, et rentre donc dans le champ d’application du RGPD.
De plus, pour pouvoir collecter les données comportementales sur vos visiteurs et réaliser des analyses statistiques par la suite, Google doit déposer des cookies sur leurs navigateurs. Il s’agit donc bien de cookies tiers, qui ne traquent pas nécessairement de données personnelles à proprement parler, mais qui peuvent être couplés aux adresses IP recueillies. Cela fait donc deux bonnes raisons de considérer que l’utilisation de Google Analytics est effectivement soumise à l’application du RGPD.
Doit-on demander le consentement de l’internaute pour utiliser Google Analytics ?
Si vous nous suivez jusqu’à présent et que vous avez lu notre article résumé sur le RGPD, alors vous parviendrez probablement à la même conclusion que nous. Dès lors qu’il y a collecte de données personnelles, l’utilisateur doit être prévenu, et y consentir de manière claire et indiscutable. Pour rester conforme au RGPD, il faudrait donc installer un bandeau d’information sur votre site, précisant votre recours aux cookies tiers et à Google Analytics. Celui-ci devrait également contenir un bouton « Accepter » permettant de recueillir le consentement de vos visiteurs, sans quoi le « cookie_GA » ne pourra être lancé. Pas de consentement obtenu, pas d’analyse statistique des performances de votre site. Ce qui vous privera d’une partie de vos données, puisque vous ne pourrez probablement pas recueillir le feu vert de tout le monde.
Le problème ? C’est bien simple : en l’absence de données fiables et complètes, le recours à Google Analytics commence à perdre de son intérêt. Pour limiter la casse, il existe quelques solutions.
Comment paramétrer Google Analytics pour rester conforme au RGPD ?
Google nous propose des solutions de paramétrage pour tenter de cadrer au mieux avec la nouvelle réglementation :
- D’une part, vous devrez signer l’accord de traitement de données. Pour cela, rendez-vous dans votre compte Analytics, dans l’onglet « Administration », puis cliquez sur « Paramètres sur compte », puis sur « Consulter la modification ». En cliquant sur « Terminer », l’accord de traitement des données sera signé.
- Toujours dans les paramètres du compte, vous devrez renseigner les responsables du traitement des données, dans l’onglet « Gérer les détails du DPA ». Il faut alors remplir les différents profils demandés : coordonnées de l’entreprise (le responsable principal), coordonnées du DPO (Délégué à la Protection des Données), ainsi qu’un représentant EEE (Espace Économique Européen).
- Ensuite, il faut sélectionner la durée de conservation des données. À titre d’information, la durée légale du consentement donné par les utilisateurs pour le traitement des cookies est fixée à 13 mois. Le plus prudent consiste donc à se rapprocher de cette limite, en paramétrant le délai de conservation au seuil le plus bas prévu par Google, soit 14 mois. Pour cela, toujours dans la partie Administration, rendez-vous dans l’onglet « Informations de suivi » puis « Conservation des données », puis sélectionner la durée choisit.
- Dernier paramètre à mettre en place, et pas des moindres : il s’agit d’anonymiser les adresses IP collectées par Google Analytics. Cette opération permet de supprimer les trois derniers chiffres d’une adresse IP pour qu’elle ne puisse plus être attribuée à une personne en particulier. Pour cela, vous devrez configurer votre balise Google Analytics en ajoutant la fonction « anonymizeip ». De ce fait, vous, ou le responsable de traitement des données, n’aurez jamais accès aux adresses IP complètes. Vous n’êtes donc plus en position de traiter des données personnelles.
Rendre anonyme l’adresse IP sur Google Analytics : est-ce une mesure suffisante ?
Sachez que les solutions listées ci-dessus ont leur limite. Même si vous ne manipulez pas de données personnelles à proprement parler, le recueil de l’adresse IP se fera tout de même et elle sera stockée dans la base de données de Google. Ces mesures ne vous dispensent donc pas complètement de vos obligations vis-à-vis du RGPD : vous devrez inscrire dans votre politique de confidentialité que vous utilisez des cookies tiers et que vous collectez des données à des fins statistiques.
Au vu de la difficulté de trouver des informations totalement fiables sur la toile, il n’est pas certain que le fait d’anonymiser les adresses IP suffise à vous exempter de la question du consentement. Pour vous assurer d’être totalement protégé juridiquement, nous vous recommandons d’ajouter un bandeau d’information qui s’affichera en évidence sur votre site, et d’y ajouter un bouton « Accepter les cookies » afin de recueillir le consentement de vos visiteurs par le biais de l’opt-in.
Vous avez d’autres questions concernant Google Analytics et le RGPD ? N’hésitez pas à nous le faire savoir en commentaire. L’équipe de La Baleine Basque reste bien entendu à votre disposition pour tout complément d’information.