Google Analytics se met en conformité RGPD : quelles nouveautés et quelles actions mettre en oeuvre ?
Cette semaine, les administrateurs de compte Google Analytics ont reçu un mail intitulé « [Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) ».
Il n’y a pas d’inquiétude à avoir. Google Analytics continue sa mise en conformité avec le Règlement Général sur la Protection des Données (RGPD), notamment en vous demandant de prendre plusieurs actions avant le 25 mai 2018 date de mise en application du RGPD.
4 types d’actions sont à envisager :
- Accepter les modifications sur le traitement des données
- Déclarer les administrateurs entreprise de ce traitement des données
- Valider le temps de rétention des données
- Mettre à jour vos CGU site, si vous avez activez les fonctionnalités de publicité Google Analytics
Action #1 : Accepter les modifications sur le traitement des données (DPA)
Google Analytics se conforme au RGPD et fait évoluer ses conditions relatives au traitement des données via ce qui s’appelle le Data Processing Amendment ou DPA.
Où ça se trouve ?
Allez sur Google Analytics, puis dans Administration > Paramètres du compte (pour le compte que vous souhaitez mettre en conformité) > Consulter la modification
Qu-est-ce que ça signifie ?
- Que Google vous proposera prochainement une option pour supprimer les données relatives à un utilisateur (identifié via un user-id par exemple)
- Que c’est de votre responsabilité de ne pas envoyer de données personnelles sensibles à Google Analytics
- Que vous êtes responsables des accès utilisateurs que vous fournissez pour utiliser les services Google Analytics : attention à ne pas utiliser de comptes partagés
Que faut-il faire ?
Prendre connaissance des nouvelles conditions et les accepter le cas échéant.
Action #2 : Déclarer les administrateurs entreprise de ce traitement des données
Où ça se trouve ?
Dans la même page que précédemment, cliquez sur « Gérer les détails du DPA ». Cela vous emmène sur la page de gestion et d’administration du DPA.
Que faut-il faire ?
Dans le bloc « Personnalité juridique », cliquez et renseignez le nom de votre entreprise.
Dans le bloc « Contacts », renseignez les 3 profils demandés par le RGPD :
- Un contact principal – obligatoire a minima
- Un agent chargé de la protection des données (DPO)
- Un représentant EEE (Espace Economique Européen)
Trois choses à noter :
- Ces 3 profils peuvent être une seule et même personne
- Ces profils peuvent être externes à l’entreprise
- Un profil ne peut être modifié, seulement supprimé
Un point d’attention : si vous possédez plusieurs comptes Analytics, il faudra par défaut refaire cette manipulation pour chaque compte. Néanmoins il existe un moyen plus rapide de rattacher plusieurs comptes à une seule et même entité juridique (entreprise).
Pour cela, rendez-vous dans Google Suite Home – c’est la suite de tous les produits Google liés à l’analytics (Google Analytics, Tag Manager, Data Studio, Optimize, Attribution, Surveys, Audience) et cliquez sur Nouvelle Entreprise.
Directement, vous pourrez créer votre entité juridique et lier tous les comptes Analytics associés.
Une fois cela fait, vous pourrez directement administrer le DPA depuis les paramètres de l’entreprise. Ainsi, vous n’aurez à déclarer qu’une seule fois vos contacts juridiques.
Action #3 : Valider le temps de rétention des données
Google Analytics a mis à disposition un nouveau module permettant de modifier la durée de rétention des données. Il faut savoir que le RGPD impose une limite de conservation des données, même si cette limite n’est pas encore explicite à l’heure actuelle.
Où ça se trouve ?
Dans chaque propriété analytics du compte Analytics, dans Analytics > Administration > Propriété > Informations de suivi > Conservation des données
Qu-est-ce que ça signifie ?
Une durée maximum de conservation des données s’applique aux données relatives aux utilisateurs et aux événements analytics : tout utilisateur (reconnu par un cookie ou un user-id) qui ne revient pas sur le site dans la période de temps définie, voit une partie de ses données supprimée des rapports.
Pour l’instant, nous n’avons pas plus d’informations sur quelles données sont précisément concernées dans l’attente d’une communication plus précise de Google.
Que faut-il faire ?
Par défaut, Google impose la durée de rétention des données à 26 mois, renouvelable.
Nous vous conseillons d’augmenter cette période à 38 mois renouvelable sauf contre-indication de votre service juridique.
Cette recommandation sera probablement amenée à évoluer selon nos premiers retours d’expérience après la mise en place du RGPD, le 25 mai.
Action #4 : Mettre à jour vos CGU site, si vous avez activé les fonctionnalités de publicité Google Analytics
Les fonctionnalités de publicité Google Analytics, lorsqu’elles sont activées, permettent à Google Analytics de collecter des données sur votre trafic basées sur un cookie publicitaire Google, en plus des informations recueillies de manière standard par Analytics.
Où ça se trouve ?
Pour chaque Propriétés > Paramètres de la propriété
Que faut-il faire ?
Si les fonctionnalités de publicité sont activées, il faut le préciser de façon explicite dans vos règles de confidentialité. Il faut également notifier vos visiteurs qu’ils ont la possibilité de désactiver spécifiquement le tracking Google Analytics via un module d’opt-out spécifique.
En conclusion, l’outil se met en conformité, mais il ne pourra pas le faire tout seul
Google Analytics a fait un premier pas pour se mettre en conformité RGPD.
La firme a également annoncé proposer prochainement un module afin de permettre la suppression de données si un utilisateur vous en fait la demande.
Néanmoins, la mise en conformité côté outil doit aussi s’accompagner d’une mise en conformité côté collecte, directement sur votre site.
Le RGPD va impliquer une refonte de vos bandeaux cookies et de la gestion du consentement associé. Ainsi, en prenant le texte au pied de la lettre, le dépôt de cookies publicitaires ou statistiques à l’arrivée d’un visiteur sur votre site devrait faire l’objet d’un consentement explicite – dans le cas où les fonctionnalités de publicité (display) sont activées.
De plus, chaque visiteur aura le droit de définir quels cookies ou non il désire activer.
Nous vous tiendrons bien évidemment au courant de nos recommandations et des implications sur votre ecosystème Analytics selon les premiers cas d’école que va soulever le RGPD.
Vous avez des questions par rapport au RGPD ? Contactez-nous
Intéressé par la formation ?
ces articles peuvent vous intéresser...
