RGPD : 4 choses à faire pour être exempté de consentement pour Google Analytics !

Depuis l'arrivée du RGPD en 2018, les détenteurs de sites web ne peuvent plus connaître précisément le nombre de visiteurs que leur page reçoit sur une période donnée… Cependant il existe une manière de remédier à ce grand désagrément...

rgpd-google-analytics

Beaucoup se demandent s’il est nécessaire de demander un consentement pour suivre ses visites avec Google Analytics. La plupart du temps, du fait que Google Analytics récolte des données personnelles sur les visiteurs, il faut bel et bien un consentement formel de la part des individus.

Le problème avec ce nouveau système mis en place en même temps que l’arrivée du RGPD en mai 2018, est que les détenteurs de sites internet ne peuvent plus connaître précisément le nombre de visiteurs que leur page reçoit sur une période donnée… En effet, seuls les internautes acceptant l’utilisation de leurs cookies seront comptabilisés comme visiteurs. Cela exclut ainsi une grande partie de l’audience, faussant donc les statistiques sur le visitorat.

Cependant il existe une manière de remédier à ce grand désagrément, permettant d’être exempté de consentement pour Google Analytics en 4 petites étapes très simples.

Besoin d'un développeur ?webmaster ?rédacteur ?

Déposez gratuitement votre projet sur Codeur.com, recevez une quinzaine de devis et sélectionnez le prestataire idéal.

Trouver un prestataire

1. Signer l’accord de traitement des données

Premièrement, il va de soi que vous devez signer l’accord de traitement des données.

Pour cette démarche, rendez-vous sur Google Analytics dans la page Administration > Paramètres du compte > Consulter la modification.

Consulter la modification

Une fois rendu ici, il ne vous reste plus qu’à valider l’accord de traitement des données en cliquant sur « Terminé ».

Valider accord

2. Déclarer les responsables du traitement des données

Deuxième étape donc, que vous pourrez retrouver dans la page Administration > Paramètres du compte > Gérer les détails du DPA.

Déclarer responsable

Google vous demandera alors de renseigner quelques informations de contact de l’entreprise ainsi que de renseigner les trois profils demandés par le RGPD, à savoir :

  • Un contact principal
  • Le contact de votre DPO (Délégué de la Protection de vos Données)
  • Un représentant EEE (Espace Économique Européen)

Voilà, ni plus, ni moins.

Besoin d'un développeur ?webmaster ?rédacteur ?

Déposez gratuitement votre projet sur Codeur.com, recevez une quinzaine de devis et sélectionnez le prestataire idéal.

Trouver un prestataire

3. Configurer le délai de conservation des données

Avant dernière étape tout aussi rapide que les précédentes.

Depuis quelques temps, Google vous permet de limiter la conservation des données. Pour rappel, un visiteur qui serait inactif pour une durée de 3 ans (soit 36 mois) doit être supprimé ou placé dans une liste d’opposition. En ce qui concerne le consentement, ce dernier doit être renouvelé tous les 13 mois pour le traitement des cookies.

Pour pouvoir configurer cette option, il est nécessaire de disposer des droits de modification relatifs à la propriété. Si vous les avez :

  • Rendez-vous dans la propriété (partie « Administration ») pour laquelle vous souhaitez faire les modifications
  • Dans le menu gauche, accédez à « Informations de suivi > Conservation des données »
  • Sélectionnez la durée de conservation de votre choix
Conservation des données

5 options s’offrent à vous pour limiter la conservation de vos données : 14 mois, 26 mois, 38 mois, 50 mois ou encore « Aucune expiration automatique ».

Comme vous pouvez le voir, il n’y a pas la possibilité de paramétrer la conservation à 13 mois et on vous l’accorde, ce n’est pas très cohérent avec le nouveau règlement, mais peut-être que cela changera d’ici quelques temps. En attendant, faites-en sorte de vous en approcher un maximum. Pour ce faire, vous pouvez utiliser le calculateur TypeForm gratuit créé par Axeptio.

Le saviez-vous ?
Google dispose d’une fonctionnalité pouvant s’avérer très utile : « Réinitialiser lors d’une nouvelle activité », vous permettant de repousser de X mois la suppression des données si l’utilisateur est à nouveau engagé en ayant effectué de nouvelles actions sur votre site.

4. Anonymiser les IP récoltées

Probablement le point le plus important parmi ces quatre étapes !

Depuis le 25 mai 2010, nous pouvons retrouver dans la bibliothèque JavaScript une fonction du nom de _anonymizelp permettant aux propriétaires de sites web de rendre les adresses IP de tous leurs utilisateurs anonymes dans Google Analytics.

Comment cela fonctionne ?

L’anonymisation IP (ou masquage IP) s’effectue avant même qu’il y ait stockage ou traitement des données, dès la réception de ces dernières par le réseau de collecte Analytics.

Le processus se déroule en deux étapes lors de la préparation de la collecte : la balise JavaScript et le réseau de collecte, comme nous pouvons le voir à l’aide de la représentation ci-dessous :

Collecte données

Cette fonction permet donc de faire disparaître les trois derniers chiffres de l’IP, rendant de fait l’identification de l’utilisateur impossible.

Qu’est-ce que cela donne sur le code de suivi ?

Il est possible de stocker l’IP d’un visiteur sous une forme masquée, pour ce faire il faut une fois de plus utiliser la fonction _anonymizelp. Voici à quoi ressemble l’intégration complète et standardisée d’un code de suivi de Google Analytics :

Script anonymiser IP

Avec la fonction _anonymizelp, nous aurons donc :

AnonimyzeIp

Effectuer ce processus directement sur Google Tag Manager ? C’est possible !

Tout ce qu’il vous suffit de faire afin d’activer cette fonction dans GTM, c’est d’aller dans le menu « Plus de paramètres », puis d’ajouter un champ « anonymizeip » avec une valeur « True », comme ceci :

Google Analytics anonimyzeIp

Et maintenant, c’est terminé ?

Une fois ces quelques démarches effectuées, vous pourrez bel et bien installer le script Google Analytics sur votre site sans demander de consentement.

Attention
Vous êtes toujours dans l’obligation de prévenir les internautes que vous utilisez ce service à l’ouverture de votre site !

 

Des solutions de mise en conformité RGPD existent comme le français Axeptio qui est le seul à avoir développé une offre clé en main et 360° autour du RGPD, myDPO qui fait un focus sur le DPO ou ICE RGPD qui est plutôt destiné aux grands groupes.

RGPD  : 4 choses à faire pour être exempté de consentement pour Google Analytics  !
4.7 (93.33 %) 3 votes

Un commentaire

  1. Effectivement cela est possible mais attention aux autres points à respecter audelà de la technique !

    - L'éditeur du site doit délivrer une information claire et complète ;
    - Le cookie déposé doit servir uniquement à la production de statistiques anonymes ;
    - Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
    - L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
    - Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ;
    - les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois.

Laissez un commentaire

Votre adresse email ne sera pas publiée. Les champs requis sont indiqués *