RGPD

Comment paramétrer Google Analytics pour être conforme au RGPD ?

Par Eric de GERMOND

Vous utilisez Google Analytics (GA) pour mesurer l’audience et analyser le trafic de votre site web.

Nous vous proposons de faire un point pour vérifier votre conformité vis-à-vis du RGPD.

Nous allons traiter dans un premier temps de la manière de paramétrer GA pour être conforme. Dans un deuxième temps nous vous proposons de faire un point sur la manière d’obtenir le consentement des internautes à l’installation des cookies de mesure d’audience.

Partons d’une installation où vous disposez de GA (Google Analytics) et de GTM (Google Tag Manager). Si ce n’est pas le cas, mettez votre installation à niveau en paramétrant GTM.

Commençons par effectuer le paramétrage de GA/GTM afin d’être conforme au RGPD.

Conformité RGPD : quatre interventions principales sont à réaliser sur votre site web.

1 – Mise à niveau « contractuelle » de votre compte

En acceptant l’avenant des conditions de Google Analytics appelées les « Data Processing Terms » puis en déclarant les responsables des traitements de données.

2 – Collecte des données personnelles

En minimisant autant que possible les données personnelles recueillies. La solution que nous recommandons est d’anonymiser les adresses IP des données collectées.

3 – Durée de conservation des données

En configurant la durée de conservation des données pour respecter au mieux la durée maximum de 13 mois conseillée par la CNIL.

4 – Consentement des utilisateurs

En conditionnant l’activation des fonctionnalités de GA au consentement des utilisateurs (cookie).

Nous n’allons pas détailler les manipulations qui doivent être effectuées pour réaliser les quatre opérations qui sont décrites ci-dessus.
Néanmoins des articles très complets sont déjà disponibles sur ce sujet, en voici deux que vous pouvez consulter :

Formation Analytics
Google Tag Manager, Google Analytics et RGPD

Règles de confidentialité
Google Check-up Confidentialité

Vous pouvez aussi vous appuyer sur le pôle SEO de votre agence web.
Chez nous, à Be API, @Bilal SEBAA est votre interlocuteur pour vous aider dans cette démarche et contrôler les réglages que vous avez effectués de votre coté.

Une fois conforme, peut-on installer les cookies de GA sans demander le consentement des internautes ?

Cette question est importante, car en demandant son consentement à l’internaute avant d’installer les cookies de GA, je prends le risque que cet internaute refuse ces cookies. Dans ce cas, cet internaute n’est pas mesuré – sa visite sur le site n’est pas prise en compte.

Selon une étude réalisée par l’Ifop pour la CNIL (source ci-dessous), à la question : « En pratique, comment réagissez-vous lorsque les sites web que vous visitez demandent votre accord pour utiliser vos données de navigation via des cookies ?« , 22% des interviewés déclarent un « Refus » de donner un accord.

Chez certains de nos clients, le taux de refus constaté est déjà important, la mise en conformité RGPD de la bannière des cookies a « fait baisser » l’audience de leur site à cause des internautes qui échappent à la mesure d’audience.

Ce taux pourrait encore augmenter, car la CNIL demande la mise en place d’un bouton « Tout refuser » pour simplifier la vie des internautes.

Sans compter l’émergence de solutions comme « Ninja Cookies » qui permettent à l’internaute de refuser automatiquement les cookies non-essentiels de votre site :

Vous n’en pouvez plus des bandeaux cookies?
Oubliez-les! Ninja Cookie s’en occupe et dit « non » pour vous!

Quelles sont les conditions permettant de bénéficier de l’exemption de consentement ?

Autrement dit : sous quelles conditions puis-je annoncer à un internaute que le site va installer des cookies SANS AVOIR BESOIN D’OBTENIR SON CONSENTEMENT ?

Car oui, c’est possible !

L’article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe d’un consentement préalable de l’utilisateur… sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

Les exemples traditionnellement cités sont des cookies permettant de gérer la performance des ressources du site, le cookie de choix de langue, un cookie permettant de contrôler l’accès aux contenus du site, un cookie de panier pour un site e-commerce, etc.

Est-ce que la mise en place de cookies de mesure d’audience peut bénéficier de l’exemption de consentement ?

Pour argumenter dans ce sens, le raisonnement est assez simple : en tant qu’éditeur, j’ai besoin de connaitre le nombre et la provenance des internautes qui viennent sur mon site. Afin que le site soit performant, je dois aussi avoir des informations sur le format d’affichage, l’OS, le navigateur… Donc je considère que l’installation des cookies d’audience est « strictement nécessaire » à la réalisation de ma mission et au bon fonctionnement du site.

Au delà de cet argumentaire, les conditions à respecter sont assez précises. Elles sont décrites dans cette page du site de la CNIL :

Est-ce que les cookies de GA peuvent être installés en bénéficiant de l’exemption de consentement ?

Eh bien non !

Le point de blocage est lié au fait que la CNIL ne croit absolument pas à un engagement de Google de ne pas réutiliser « à son compte » les données qui sont collectées sur votre site. La conséquence étant que si ces données sont récupérées par Google elles sont aussi transférées hors de l’Union européenne ce qui pose un nouveau problème de conformité au RGPD.

En conclusion

Vous devez commencer par configurer GA/GTM pour être conforme au RGPD. Vous pouvez évidemment vous appuyer sur les experts de votre agence web pour effectuer ces paramétrages.

Vous devez mesurer la « perte d’audience » qui est engendrée par ces changements et expliquer à ceux qui utilisent ces chiffres comment les interpréter.

Enfin, certains clients ont préféré passer de Google Analytics à Matomo pour contourner cette question et pouvoir bénéficier de l’exemption de consentement. Nous pouvons travailler ensemble sur cette éventualité et évaluer ensemble les + et les – si cela vous intéresse.


Source : Etude réalisée par l’Ifop pour la CNIL sur 1005 individus par questionnaire auto-administré en décembre 2019.

Retour en haut de page