Comment configurer Google Analytics pour le RGPD ?

rgpd google analytics

Depuis le 12 avril, Google Analytics a commencé à se conformer au règlement RGPD qui s’applique depuis le 25 mai 2018. A cette occasion, plusieurs mails ont été envoyés et seront envoyés aux administrateurs de compte. Pas de panique, moins de 5 minutes sont nécessaires pour configurer Google Analytics.

Tout d’abord, si vous avez reçu un mail à ce sujet, sachez que vous êtes directement concerné. Voici les étapes que vous devrez suivre :

Consulter et accepter la modification du traitement des données

  1. 1. Rendez-vous dans Administration > Compte > Paramètres du compte
  2. 2. Consultez puis acceptez le document

En quelques mots, ce document vous engage à :

  • ne pas envoyer d’informations personnelles de vos utilisateurs à Google
  • être responsable sur les utilisateurs ayant accès aux compte Google Analytics (par exemple, les comptes Google partagés accessibles depuis plusieurs postes)

Cette opération ne se fait qu’une seule fois par compte Google pouvant intégrer plusieurs propriétés.

Ajouter les contacts et les entités juridiques responsables de la protection des données

  1. 1. Pour cela, toujours sur l’écran Administration > Compte > Paramètres du compte : cliquez sur “Gérer les détails du DPA” (DPA : Délégué à la protection des données)
  2. 2. Renseignez au moins une personnalité juridique
  3. 3. Renseignez au moins un contact principal, et éventuellement un agent chargé de la protection des données, ainsi qu’un représentant EEE (Espace Economique Européen)

Contrairement au document concernant le traitement des données, cette opération doit se faire pour chaque propriété Google Analytics.

Gérer la conservation des données

  1. 1. Rendez-vous dans Administration > Propriété > Informations de suivi > Conservation des données
  2. 2. Indiquez une durée de conservation des données concernant les utilisateurs et les évènements : 14 mois, 26 mois (par défaut), 38 mois, ou 50 mois
  3. 3. Activez ou désactivez la réinitialisation des données lors d’une nouvelle activité. Si cette option est activée, cela permettra de conserver les données plus longtemps

A noter qu’à cette date Google n’a pas communiqué sur le sort de ces données une fois la période expirée.

Mais ce n’est pas suffisant…

Pour être conforme à le règlement RGPD (Règlement Général sur la Protection des Données), une mise à jour du dispositif (site, application…) s’impose avec :

  • la mise à jour des conditions générales d’utilisation (vous avez très certainement reçu de nombreux spams mails à ce sujet)
  • la mise en place d’un “tag manager”, c’est à dire un outil permettant de choisir les cookies auxquels l’utilisateur choisit de souscrire. La CNIL recommande certains outils dans cet article.
  • la mise à jour des autres outils de tracking ou d’analyse existants (notamment les autres solutions de Google comme Google Tag Manager, Google Data Studio, Google Optimize…)