Le 25 mai prochain, le Règlement Général sur la Protection des Données, ou RGPD pour les habituées, entrera en vigueur. En plein cœur de l’actualité, il impose aux entreprises de nombreux changements qu’il est nécessaire d’entreprendre impérativement avant la date butoir. Ainsi, c’est ce que Google a réalisé avec son service gratuit Google Analytics. Nous vous présentons les actions à entreprendre pour que votre site soit conforme au RGPD en ce qui concerne la collecte de données.
Le RGPD et le web analytique, quel lien ?
Le web analytique est un domaine du marketing digital qui consiste à collecter des données informatiques provenant de vos visiteurs. Ces informations vous aident à améliorer la performance de votre site internet. La collecte de ces données est alors rendue possible grâce aux cookies.
La conformité entre vos cookies et le RGPD
Les cookies sont des fichiers insérés dans un ordinateur qui permettent de suivre un internaute, de mesurer l’audience d’un site internet, de proposer des publicités davantage ciblées, mais aussi de faciliter la navigation. Ils collectent de nombreuses informations sur les internautes qui peuvent s’avérer très utiles pour les entreprises. Seulement, le RGPD renforce l’encadrement légal de l’utilisation de ces tracking. Alors, que vous utilisiez Google Analytics, Matomo ou encore XiTi (anciennement AT Internet), comment être en conformité ?
- Informer l’internaute des cookies utilisés et de leurs finalités ;
- Recueillir le consentement de l’internaute et lui apporter la possibilité de s’opposer ou de changer l’utilisation des trackings en cliquant sur un lien ;
- Limiter le temps d’utilisation des cookies à 13 mois et recueillir de nouveau le consentement de l’internaute après cette période ;
- Si l’internaute poursuit sa navigation cela vaut comme consentement au dépôt des cookies. Par cela, on entend l’internaute qui se rend sur une autre page ou clique sur un élément du site. Il est alors nécessaire de l’indiquer dans le bandeau d’information. À cet égard, la CNIL donne un modèle à adapter en fonction de la finalité des tracking.
« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple, des publicités ciblées adaptées à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites]. »
Les outils analytiques et le nouveau règlement européen
Bien évidemment, il existe plusieurs outils web analytiques et de mesure d’audience autre que Google Analytics et que la CNIL recommande. Il s’agit alors de XiTi (AT Internet) et Piwik. Seulement, d’autres solutions gratuites ou payantes existent et vous permettent d’être conforme à la CNIL et au nouveau règlement européen : les gestionnaires de balises Analytics comme Google Tag Manager.
Néanmoins, la performance de Google Analytics et sa puissance le place comme l’outil d’analyse d’audience le plus performant et le plus complet de tous les outils existants. De plus, il s’est dernièrement mis en conformité avec le nouveau Règlement Général sur la Protection des Données.
Le RGPD et Google Analytics, les changements à prévoir
Si vous bénéficiez d’un compte Google Analytics, vous avez sûrement reçu un mail de la part de Google avec comme objet :
« [Action requise] Informations importantes concernant la conservation des données Google Analytics et le Règlement général sur la protection des données (RGPD) »
Ce mail informe les utilisateurs de la mise en conformité de Google Analytics avec le RGPD et des quatre actions à réaliser sur votre compte pour être, vous aussi, en conformité. Tout ça, avant le 25 mai prochain. Voici les étapes à réaliser :
Première étape : Accepter la modification du traitement des données (DPA)
Il s’agit ici du contrat entre vous, le Data Controller et Google Analytics, le Data Processor. Dans ce contrat, vous pouvez retrouver toutes les actions que l’outil analytique met en place pour être conforme à la nouvelle réforme européenne. Cependant, vous restez l’unique responsable des informations que vous récoltez.
Pour ce faire, vous devez vous rendre dans votre compte Analytics > Administration > Paramètres du compte > Modification du traitement des données. Puis vous ouvrez l’accord de traitement pour le valider.
Deuxième étape : déclarer les administrateurs du traitement des données
Cette étape vous permet de déclarer les personnes en charge du traitement des données collectées dans votre entreprise. Alors dans la même page que l’étape précédente, cliquez sur « Gérer les détails du DPA » et renseignez les informations liées à votre entreprise et les trois profils demandés par la RGPD.
- Un contact principal
- Le DPO, soit la personne chargée de la protection des données
- Un représentant EEE (Espace Économique Européen).
Point important : pour les petites structures, les trois profils demandés peuvent être la même personne, seul le contact principal reste obligatoire. Cependant, pour les entreprises possédant plusieurs comptes analytiques il est nécessaire de réaliser la manipulation sur chacun des comptes.
Troisième étape : configurer le délai de rétention des données.
Comme dit plus haut, le RGPD impose aux entreprises de demander à nouveau le consentement des internautes après un délai de 13 mois. Mais aussi de supprimer les données relatives à un visiteur inactif pendant une période de 3 ans. Ainsi, Google a mis en place une nouvelle fonctionnalité qui vous permet de modifier la durée de rétention des données. Elle se trouve dans Administration > Informations de suivi > Conservation des données, puis vous choisissez la durée de conservation de votre choix.
Cependant, aucune des périodes ne correspond au règlement du RGPD, nous vous conseillons alors de choisir une conservation des données de 14 mois pour entrer en conformité.
Quatrième action : Mettre à jour vos marqueurs Google Analytics
Cette quatrième étape est la plus compliquée de toutes, la face cachée de l’iceberg. Le RGPD impose aux entreprises de supprimer les derniers octets des adresses IP pour une anonymisation de ces dernières. Mais, aussi de demander aux internautes d’accepter les cookies à l’aide de l’opt-in de consentement. Pour cela, nous vous conseillons de réaliser une page d’information sur laquelle vos visiteurs pourraient voir la liste complète des cookies que vous utilisez et pourraient alors en gérer les autorisations. Comme le fait, par exemple le site de la CNIL.
Conclusion
Cela n’est désormais plus une surprise la mise en place du RGPD va forcer les entreprises à réaliser de nombreux changements. Chez Powertrafic, agence certifiée AdWords, nous vous aidons à configurer votre compte Google Analytics pour mettre votre site en conformité car adapter votre stratégie de collecte de données à la norme RGPD est devenu indispensable.