Comment paramétrer son Google Analytics pour être en conformité avec la RGPD

ETAPE 1 : ACCEPTER L’ACCORD DE TRAITEMENT DES DONNÉES

L’accord de traitement des données (DPA) est un contrat de partenariat entre vous et Google Analytics. Votre société est le data controller (le responsable des données) et Google Analytics (GA) le data processor (outil/support de récolte des données). Suite à la « signature » de votre contrat avec GA, celui-ci s’engage à mettre tout en œuvre pour être en règle avec la RGPD, néanmoins vous restez maître des données que vous collectez. Google Analytics n’est que l’outil de collecte, ce que vous faites de celles-ci est votre responsabilité.
L’acceptation de l’accord se réalise donc sur votre compte Analytics dans les paramètres de votre compte, pour cela vous devez vous rendre dans « Administration » puis « Paramètre du compte ». En bas de cette page, vous trouverez le message suivant :

Suite au clic sur « Consulter la modification », une page s’ouvre vous indiquant l’accord qu’il vous faudra valider.

ETAPE 2 : RENSEIGNER LES ADMINISTRATEURS EN CHARGE DU TRAITEMENT DES DONNÉES

Etape tout aussi importante que la signature de l’accord de partenariat avec Google Analytics, la déclaration des administrateurs en charge du traitement des données s’effectue dans les paramètres de votre compte au chemin suivant : « Administration / Paramètre du compte ». Vous devez ensuite cliquer sur « Gérer les détails du DPA »

Après avoir cliqué sur le lien, vous devez renseigner les contacts en charge du traitement des données qui seront référents pour la RGPD. Trois profils sont demandés :
– Un contact principal
– Un contact en charge de la protection de vos données (contact DPO)
– Un représentant Espace Économique Européen (EEE)

À savoir, les petites structures (PME, association, etc.) peuvent intégrer le même contact pour les différents profils.
De plus, pour les entreprises possédant un nombre important de comptes (agence web, site media, etc.), il est possible de ne déclarer qu’une seule fois l’organisation ainsi que les différents contacts et de rattacher l’ensemble des comptes Google Analytics à cette organisation.

ETAPE 3 : INDIQUER ET VALIDER LE TEMPS DE CONSERVATION DES DONNÉES

Dans le but de se mettre en totale conformité avec le nouveau règlement européen RGPD, Google Analytics donne dorénavant la possibilité au gestionnaire du compte une fonctionnalité permettant de sélectionner une période de conservation des données personnelles. Celui-ci propose plusieurs options : 14 – 26 – 38 – 50 mois ou aucune expiration automatique.
Ce paramétrage s’effectue dans la partie « Administration » de votre compte GA puis dans « Informations de suivi » et « Conservation des données ». Cliquez ensuite sur la liste déroulante pour sélectionner une période de conservation des données sur les utilisateurs et les événements.

Pour rappel, dans le cadre de la RGPD, un visiteur inactif pendant 3 ans (36 mois) doit être supprimé ou mis dans une liste d’opposition. Tous les 13 mois, le consentement doit de nouveau être demandé pour le traitement des cookies. C’est à cela que sert cette nouvelle option sur Google Analytics.
Comme vous pouvez le voir, aucune des périodes ne correspond au règlement de la RGPD. Quand la période arrive à terme, les données sont supprimées le mois suivant.
Outre la sélection de la période de conservation des données personnelles, Google Analytics vous donne la possibilité de repousser la date de suppression des données d’un ou plusieurs mois dès lors que l’internaute fait une nouvelle action sur votre site. Cela est réalisable en cochant l’option « Réinitialiser lors d’une nouvelle activité ».

ETAPE 4 : PARAMÉTRER VOS MARQUEURS GOOGLE ANALYTICS

Après avoir réalisé ces différentes étapes, vous êtes en conformité avec l’accord précédemment signé avec Google Analytics, mais il vous reste encore beaucoup de travail afin d’être en parfaite conformité avec la RGPD. Pour être en adéquation avec le règlement européen, vous devez modifier votre site sur les points suivants :
– Une durée de cookie inférieure à 13 mois. Or le cookie de « _GA» dure 24 mois
– Une anonymisation des IPs qui transfèrent dans les bases de données de Google Analytics
– La suppression de l’ensemble des données personnelles
– Des opt-in de consentement que vous serez obligé de proposer à vos internautes.
Si vous souhaitez être en conformité totale, vous pouvez vous inspirer de la CNIL avec leur système. En arrivant sur le site de la CNIL, vous avez la possibilité de « Personnaliser » le dépôt des cookies tiers. Une liste vous est proposée et vous sélectionnez les cookies que vous acceptez (Facebook, YouTube, Vimeo, etc.).

EN SAVOIR PLUS SUR LA RGPD

QU’ENTEND LA RGPD PAR DONNÉES PERSONNELLES ?

D’après les textes officiels de la CNIL (règlement européen 2016/679), une donnée personnelle correspond à :
« Toute information se rapportant à une personne physique identifiée ou identifiable […], directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »
Il est important de noter qu’il existe plusieurs typologies de données personnelles, vous avez les données personnelles « standard » et « sensible ». Ces deux notions ne doivent pas être prisent à la légère, car celles-ci n’ont pas la même incidence sur la vie privée des personnes.

Une donnée personnelle « standard » est par exemple :

– Une adresse email
– Un numéro de téléphone
– Une adresse postale
– Des empreintes digitales
– Une adresse IP
– Un état civil
– Etc.

Les données personnelles « sensibles » sont d’un tout autre genre :

– Origine raciale ou ethnique
– Opinion politique ou philosophique
– Orientation religieuse
– Appartenance syndicale
– Données de santé
– Orientation sexuelle
– Données génétique et biométrique
– Etc.

QUELS SONT LES OBJECTIFS MAJEURS DE LA RGPD ?

Un des objectifs majeurs du nouveau règlement européen sur la protection de données personnelles est de redonner le pouvoir aux internautes sur leurs données personnelles. Comme indiqué précédemment, depuis plusieurs années, les données personnelles étaient collectées de façon abusive sans que l’internaute puisse faire quelque chose pour supprimer ou corriger les autorisations d’exploitations de ses données.

Grâce à la RGPD, les internautes voient leurs droits retrouvés, toutes les données personnelles se voient prêtées par leur propriétaire ce qui permet de responsabiliser les acteurs traitant les données. Chaque acteur (responsable du traitement des données, sous-traitants et partenaires) a une responsabilité dans la manipulation et le traitement des données personnelles accumulées.

Outre cet aspect de responsabilisation, la RGPD permet in fine de crédibiliser la régulation des informations personnelles récoltées. Celle-ci permettra à l’ensemble des autorités européennes de coopérer entre elles afin d’adopter des décisions ainsi que des sanctions communes pour tout manquement à ce règlement.

À QUELS RISQUES JE M’EXPOSE EN CAS DE NON-RESPECT DE LA RGPD ?

La RGPD instaure une table de sanctions encadrées, graduées et renforcées en fonction des manquements ainsi que de l’importance de ceux-ci. Ces sanctions vont du simple avertissement à l’amende administrative sur le chiffre d’affaires.

Les sanctions de la RGPD sont échelonnées de la façon suivante :

– Envoi de plusieurs avertissements
– Réalisation de mise en demeure
– Limitation temporaire ou définitive du traitement des données
– Suspension des flux de données
– Obligation de satisfaire les demandes d’exercices des droits des personnes
– Engagement de rectification, limitation ou effacement des données personnelles
– Retrait des certifications délivrées
– Amendes administratives pouvant aller de 10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires annuel mondial (la somme la plus importante sera retenue).

Il est important de noter qu’à chaque étape, un délai de plusieurs jours est accordé afin de fournir des réponses sur le déroulement du processus de mise en place du règlement européen.

LES NOUVELLES CONTRAINTES DE LA RGPD POUR LES ENTREPRISES

La nouvelle réglementation européenne RGPD apporte de nouvelles contraintes aux entreprises (de la plus petite aux multinationales) sur le sujet du traitement des données personnelles des clients.

UNE DEMANDE DE CONSENTEMENT OBLIGATOIRE

Avant chaque collecte de données, le DPO (responsable du traitement des données) doit demander le consentement de façon claire et explicite à l’individu.

Le responsable de traitement est donc tenu d’informer l’utilisateur de l’usage de ses données, d’indiquer la finalité du traitement et la possibilité de s’y opposer, de présenter ces données de manière claire et compréhensible et de fournir une preuve du consentement sur demande.

Les anciennes pratiques des cases pré-cochées (opt-out) ainsi que des formulaires avec des formulations négatives (« En cochant cette case je ne souhaite plus être informé des offres de …. ») doivent donc aujourd’hui être bannies sous peine de sanctions.

Le traitement des données sans consentement reste tout de même licite dans les situations suivantes :

– Si le traitement des données est nécessaire à l’exécution d’un contrat accepté par l’individu (ex : email de confirmation pour un achat)
– Si le traitement résulte d’une obligation légale
– Dans le cas d’une sauvegarde de données d’ordre d’intérêts vitaux de la personne
– Si le traitement implique une exécution d’une mission d’intérêt public
– Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne et plus spécifiquement s’il s’agit d’un mineur.

EXCEPTION DES MINEURS DE MOINS DE 16 ANS

Le recueil d’informations personnelles auprès des enfants de moins de 16 ans doit être explicite et clair. De plus, cette demande doit être au préalable validée par le représentant légal de l’enfant. À l’âge de 18 ans, l’enfant est en droit de contester et d’exiger la suppression de ses données personnelles collectées par le passé.

LA DURÉE DE VIE DE DONNÉES

À la demande des données personnelles, le responsable des données doit indiquer explicitement la durée de vie des données collectées ainsi que leur suppression après traitement (lorsque celles-ci ne représenteront plus d’intérêt).

L’ÉLABORATION D’UN REGISTRE DES TRAITEMENTS DE DONNÉES

Toutes les entreprises traitant des données personnelles devront établir et fournir sur demande un registre de traitement des données. Celui-ci devra comprendre les informations suivantes :

– Les différents traitements de données personnelles
– Les catégories de données personnelles traitées
– Les finalités et les objectifs des différents traitements
– Les acteurs amenés à traiter les données personnelles
– Indiquer les transferts et les origines des flux d’informations si celles-ci quittent l’Union Européenne

LA NOMINATION D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Également appelé DPO (Délégué à la Protection des Données), cette personne est en charge du bon respect de la législation et notamment de la RGPD. Celui-ci a 3 grandes missions :

– Informer et conseiller le responsable du traitement, ses sous-traitants et ses employés
– Contrôler le respect de la RGPD
– Être le référent auprès des autorités telles que la CNIL

Cet acteur peut être en interne et en externe ainsi que mutualisé en fonction des entreprises. Néanmoins, cette personne ne doit pas être « juge et partie » tel que le PDG, un dirigeant, un responsable marketing, responsable informatique, etc.

LES NOUVEAUX DROITS ACCORDÉS AUX CONSOMMATEURS

La RGPD met donc en premier plan les intérêts du consommateur en ce qui concerne la propriété des données personnelles. Dorénavant les données seront prêtées et non plus données. Chaque internaute disposera des droits suivants :

LE DROIT À L’OUBLI

À n’importe quel moment et dans les plus brefs délais, un internaute pourra faire la demande de rectification ou de suppression de ses données personnelles.

LA PORTABILITÉ DES DONNÉES

Toute personne ayant donné des informations personnelles peut demander au responsable du traitement des données l’ensemble de ses données personnelles dans un format lisible et structuré afin de les transférer à un autre responsable de traitement.

ÉLABORATION D’ACTIONS COLLECTIVES

En cas de violation du règlement sur les données personnelles, les internautes pourront s’ils le souhaitent se regrouper dans le but de lancer des actions collectives.

LA RÉPARATION DES DOMMAGES MATÉRIELS ET/OU MORAUX

Dans le cadre d’un préjudice, les utilisateurs disposent d’un droit de réparation des dommages matériels et/ou moraux.