Google Analytics 4 est-il conforme au RGPD?

Google Analytics (GA) est l'une des plateformes d'analyse web les plus utilisées, mais elle suit des données qui sont considérées comme des informations personnelles en vertu du règlement général sur la protection des données (RGPD), la loi européenne sur la confidentialité des données.

Pour éviter les sanctions en cas de violation du règlement, votre utilisation de l'AG doit être conforme aux exigences du RGPD en matière de confidentialité des données.

Dans ce guide professionnel, je présente les étapes à suivre pour être en conformité avec RGPD tout en utilisant GA4, l'itération actuelle de Google Analytics.

Table des matières

1. Comment utiliser le GA4 dans RGPD?
2. Qu'est-ce que le RGPD?
3. Qu'est-ce que Google Analytics ?
4. Google Analytics (GA4) est-il RGPD?
5. Comment Google rend-il les GA4 RGPD?
6. Comment le mode "consentement" de Google fonctionne-t-il avec Google Analytics ?
7. Comment Termly peut-il aider ?
8. Google Analytics et RGPD FAQ
9. Résumé

Comment utiliser le GA4 dans RGPD?

Dans le contexte du RGPD, vous, le propriétaire du site web qui recueille des informations personnelles auprès des utilisateurs, êtes le contrôleur des données et il est de votre responsabilité de vous assurer que votre utilisation de Google Analytics est conforme.

Pour y parvenir légalement, vous devez prendre toutes les mesures suivantes.

Étape 1 : Obtenir le consentement à la collecte de données à caractère personnel

L'obtention du consentement de l'utilisateur est l'une des bases légales pour le traitement des données personnelles en vertu du RGPD, et vous aurez besoin du consentement explicite de vos utilisateurs pour utiliser Google Analytics de manière conforme.

Google le reconnaît directement dans la section d'aide d'Analytics, dont vous trouverez une capture d'écran ci-dessous.

Pour que le consentement de l'utilisateur soit valide au regard du RGPD, il doit répondre à la définition légale telle que décrite par le règlement et être :

... "une indication librement consentie, spécifique, informée et univoque des souhaits de la personne concernée par laquelle elle accepte, par une déclaration ou par une action positive claire, le traitement des données à caractère personnel la concernant. l'acceptation du traitement des données à caractère personnel la concernant".

Pour vous conformer aux règles de consentement du RGPD , vous devez obtenir un consentement positif, avec option d'adhésion, et fournir des options d'exclusion concernant l'utilisation des GA4, afin que vos utilisateurs puissent facilement changer d'avis à tout moment.

Pour ce faire, mettez en place sur votre site web une bannière de consentement pop-up correctement configurée qui comprend un lien direct vers vos règles en matière de confidentialité et de cookies. Veillez à ce que votre site politique de confidentialité explique clairement que vous utilisez Google Analytics dans un langage facile à lire et à comprendre.

Vous devez également dresser la liste de tous les cookies que GA4 place sur les navigateurs des utilisateurs dans votre site politique de cookies.

Donnez à vos utilisateurs la possibilité d'accepter votre utilisation de Google Analytics ou de refuser complètement les cookies, ainsi que la possibilité de retirer leur consentement à tout moment. Si vous le souhaitez, vous pouvez également leur permettre de personnaliser ce qu'ils acceptent et ce qu'ils refusent, de manière plus spécifique. Mais n'utilisez pas de cases pré-cochées, car elles ne sont pas compatibles avec le RGPD.

Pour une conformité totale, assurez-vous qu'aucun traitement de données n'a lieu sans l'accord de vos utilisateurs et que le traitement n'a lieu qu'après l' obtention du consentement.

Étape 2 : Pseudonymiser les identifiants des utilisateurs de Google Analytics

Une autre méthode pour se conformer aux recommandations du RGPD en matière de protection de la vie privée des utilisateurs consiste à pseudonymiser les identifiants des utilisateurs.

Il est toutefois important de souligner que les données pseudonymisées relèvent toujours de la définition des "données à caractère personnel" au sens du RGPD. En d'autres termes, le respect du RGPD reste nécessaire et de la plus haute importance.

La pseudonymisation est un processus dans lequel un élément de données est brouillé de sorte qu'il ne peut plus être relié à la personne associée sans données supplémentaires. Vous pouvez y parvenir en utilisant un algorithme pour remplacer les données réelles par d'autres détails (c'est-à-dire des pseudonymes).

Dans Google Analytics, vous pouvez utiliser un élément appelé "user-id" pour suivre et relier les données d'un utilisateur unique sur plusieurs sessions et appareils. La combinaison de ces données associées à un seul utilisateur améliore la précision des données et des analyses de Google Analytics.

Toutefois, ce suivi précis repose sur les identifiants des utilisateurs qui sont considérés comme des données à caractère personnel, puisque vous pouvez les utiliser pour identifier des utilisateurs individuels.

Bien que la pseudonymisation de ces identifiants puisse conduire à des données de conversion légèrement moins précises, il vaut la peine de se conformer au RGPD et d'éviter de se voir infliger de lourdes amendes.

Étape 3 : Ne pas conserver les données plus longtemps que nécessaire

Comme de nombreuses lois sur la confidentialité des données, le RGPD exige que vous ne conserviez les données personnelles que le temps nécessaire à la réalisation de l'objectif initial de la collecte. Votre politique de conservation des données lors de l'utilisation de l'AG doit donc être conforme à cet aspect du règlement.

Heureusement, cette fonction est intégrée dans le GA4, puisque vous pouvez choisir entre deux options de rétention :

• 2 mois
• 14 mois

Examinez et fixez votre période de conservation des données au niveau le plus bas requis pour vos activités.

Étape 4 : Fournir des informations sur la protection de la vie privée et de l'environnement politique de cookies

Le RGPD confère aux utilisateurs de l'UE/EEE plusieurs droits fondamentaux, dont celui d'être pleinement informés. Cela signifie que vous devrez fournir à ces utilisateurs une politique de confidentialité et une politique de cookies conformes auRGPD, afin qu'ils puissent prendre connaissance de vos pratiques en matière de traitement des données.

En particulier, les personnes concernées par RGPD ont le droit de savoir :

• Quelles sont les informations personnelles collectées auprès d'eux ?
• Comment l'utiliser
• Durée de conservation
• Avec qui il est partagé
• Votre base juridique pour l'utilisation des données

Vous devez également expliquer comment les utilisateurs peuvent exercer ces droits et quelles données vous partagez avec Google (et tout autre tiers).

Les cookies étant également considérés comme des informations personnelles, vous devez les mentionner dans vos politiques de confidentialité et de cookies pour vous conformer au RGPD.

GA4 : Il n'est pas nécessaire d'anonymiser les adresses IP ?

Lorsque Universal Analytics existait encore, il était nécessaire d'anonymiser les adresses IP pour rester en conformité avec le RGPD

Cependant, GA4 a remplacé Universal Analytics à partir du 1er juillet 2023. Selon Google, GA4 n'enregistre ni ne stocke aucune adresse IP, ce qui rend le masquage IP inutile.

Une adresse IP est un code unique qui identifie chaque appareil connecté à l'internet.

Techniquement, le RGPD considère les adresses IP comme des données à caractère personnel, de sorte que le traitement de ces informations serait soumis à toutes les exigences énoncées dans le règlement.

Qu'est-ce que le RGPD?

Le règlement général sur la protection des donnéesRGPD) est une loi sur la protection des données et de la vie privée de l'Union européenne (UE) qui est entrée en vigueur le 25 mai 2018. Il donne aux individus de l'UE et de l'Espace économique européen (EEE) de nouveaux droits sur la façon dont les entreprises, les autorités publiques, les agences ou même d'autres personnes physiques traitent leurs données personnelles.

Bien que le RGPD soit un règlement de l'UE, il s'applique aux entreprises du monde entier parce qu'il est centré sur la localisation du consommateur (ou de la personne concernée, comme il est indiqué dans le RGPD), et non sur l'entreprise.

Cela signifie que le RGPD s'applique aux entreprises aux États-Unis et dans le reste du monde, et que les amendes pour violation du RGPD sont aussi sévères ailleurs qu'en Europe.

Pour des informations plus approfondies, consultez ce guide complet sur RGPD . Ou, si vous souhaitez un résumé simplifié, voici notre GuideRGPD pour les Nuls.

Qu'est-ce que Google Analytics ?

Google Analytics est une plateforme gratuite de Google que les propriétaires de sites web ou d'applications peuvent utiliser pour suivre les données et le comportement des visiteurs.

Le processus de suivi implique la collecte de données telles que les pages vues, les éléments sur lesquels les utilisateurs ont cliqué et la durée de leur visite sur votre site. Ces statistiques essentielles sur la façon dont les utilisateurs interagissent avec votre plateforme peuvent contribuer à l'optimisation du site, à l'augmentation des ventes et à d'autres objectifs.

La version actuelle s'appelle Google Analytics 4 ou GA4, mais il y a eu plusieurs itérations de ce service Google, que vous pouvez découvrir dans le tableau ci-dessous.

Version	Nom	Extrait de code	Fin du contrat
Google Analytics 1 (GA1)	Urchin Analytics	urchin.js	9 mai 2007
Google Analytics 2 (GA2)	Analyse classique	ga.js	2 avril 2014
Google Analytics 3 (GA3)	Analyse universelle	analytics.js	1er juillet 2023
Google Analytics 4 (GA4)	Google Analytics 4	gtag.js	Version actuelle

Google Analytics place des cookies sur les navigateurs des utilisateurs, qui contiennent un identifiant unique ou ID de cookie. En vertu du RGPD, les identifiants de cookies sont considérés comme des données à caractère personnel car ils peuvent être utilisés pour identifier directement ou indirectement une personne.

Les versions antérieures du service suivaient et enregistraient également les adresses IP, un autre élément d'information personnelle selon le RGPD.

Par défaut, GA4 anonymise les adresses IP et ne fournit que des géolocalisations grossières. Toutefois, certaines autorités de protection des données (DPA) des États membres cherchent encore à savoir si cette méthode offre une protection adéquate (je reviendrai sur les décisions d'adéquation des États membres un peu plus loin dans ce guide).

Quoi qu'il en soit, si vous utilisez Google Analytics, vous êtes considéré comme le responsable du traitement des données en vertu du RGPD, et Google est votre sous-traitant. Tant les responsables du traitement que les sous-traitants sont soumis à de nombreuses obligations légales, que nous abordons dans la section suivante.

Google Analytics (GA4) est-il RGPD?

Bien que Google ait conçu sa plateforme Analytics pour qu'elle soit RGPD, il est possible de l'utiliser, intentionnellement ou non, d'une manière qui enfreint le règlement. Toutefois, il semble que Google ait pris des mesures pour s'assurer que GA4, en tant que plateforme, satisfait aux règles du RGPD .

Je me concentrerai sur la manière dont les cookies de Google Analytics peuvent être conformes ou non à certaines parties du RGPD et je mentionnerai certaines décisions des États membres en la matière dans la section suivante.

Google Analytics et les cookies Internet

Google Analytics 4 laisse des cookies sur les navigateurs de vos utilisateurs, et ces cookies sont soumis aux exigences strictes du RGPD en matière de traitement des données.

Toutefois, le GA4 utilise moins de cookies que les autres itérations de ce service. Il n'utilise que les suivants :

• _ga - ce cookie est utilisé pour distinguer les utilisateurs et a une durée d'expiration par défaut de 2 ans
• _ga_<container-id> — this cookie is used to persist the user’s session state and has a 2-year default expiration time

Néanmoins, la mise en œuvre de ces cookies Google Analytics doit être conforme au RGPD si vous ciblez des individus dans l'UE/EEE.

Cela signifie que vous devez obtenir le consentement de chaque personne avant que ces cookies ne soient placés sur leur navigateur, sous peine d'enfreindre le règlement.

Si les utilisateurs refusent les cookies, cette préférence doit être respectée ; vous ne pouvez donc pas les placer sur leurs navigateurs.

Décisions du RGPD concernant Google Analytics

Les autorités de protection des données de plusieurs États membres de l'UE ont déjà fait des déclarations concernant la légalité de l'utilisation de Google Analytics dans le cadre du RGPD.

Examinons plus en détail les décisions de conformité de ces pays.

Autriche

En 2022, l'autorité autrichienne de protection des données (DPA), Datenschutzbehörde, a annoncé que l'utilisation de Google Analytics par un site web violait l'arrêt Schrems II de 2020.

L'affaire Schrems II a invalidé le cadre du bouclier de protection de la vie privée UE-États-Unis, qui avait auparavant favorisé le transfert international de données à caractère personnel entre les États-Unis et les États membres de l'UE/EEE.

Cette décision était fondée sur la possibilité pour le gouvernement américain d'accéder à des données personnelles après leur transfert sur des serveurs américains sans en informer suffisamment les personnes de l'UE/EEE et sans que ces dernières n'exercent un contrôle réel sur le traitement de leurs données personnelles, ce qui constitue une violation directe du RGPD.

Bien qu'aucun nouveau cadre n'ait été approuvé ou convenu, la décision confirme les obligations contractuelles. Il exige désormais que les entreprises déterminent au cas par cas si les protections adéquates en place répondent aux normes du RGPD concernant le transfert de données à caractère personnel vers un pays situé en dehors de l'EEE. Plus important encore, les entreprises doivent également évaluer si la loi applicable dans le pays de destination est contraire aux exigences du RGPD .

Dans le cas du site web autrichien, l'anonymisation des données a été jugée insuffisante parce que le processus a probablement eu lieu après que les données ont atteint les serveurs américains, et non avant.

Ils ont également estimé que le cryptage des données était insuffisant car le gouvernement américain pouvait avoir accès à la clé.

Danemark

Au Danemark, la DPA, Datatilsynet, a annoncé en 2022 qu'elle suivait la décision autrichienne contre Google Analytics.

Le groupe a étudié Universal Analytics et GA4 et a ensuite publié des lignes directrices concernant l'utilisation du service.

France

En février 2022, la Commission nationale de l'informatique et des libertés (CNIL) a estimé que l'utilisation de Google Analytics par un site web était contraire à l'article 44 du RGPD .

Cette décision est à nouveau due au transfert international de données vers un pays ne disposant pas de protections adéquates en matière de vie privée.

La CNIL a par la suite mis à jour ses lignes directrices pour l'utilisation de Google Analytics et a suggéré l'utilisation d'un serveur proxy .

Italie

En juin 2022, Garante, l'autorité italienne de protection des données, a estimé que l'utilisation de Google Analytics par un site web était contraire au RGPD en raison du transfert international de données vers un pays ne disposant pas de mesures adéquates de protection de la vie privée.

La décision faisait directement référence aux adresses IP, qu'Universal Analytics collectait à l'époque.

Cependant, depuis lors, GA4 a remplacé Universal Analytics, et Google a déclaré que GA4 ne suivait pas et n'enregistrait pas les adresses IP.

Mais, comme les autres États membres, elle fait également référence à la capacité du gouvernement américain à accéder aux informations sans en informer correctement les personnes concernées de l'UE/EEE.

Les Pays-Bas

Aux Pays-Bas, au moins deux plaintes distinctes concernant les transferts internationaux de données et Google Analytics font l'objet d'une enquête par l'autorité de protection des données, l'Autoriteit Persoonsgegevens.

Les deux plaintes font référence aux mêmes problèmes que ceux soulevés par l'Autriche, l'Italie et la France, et les enquêtes sont en cours.

Norvège

En mars 2023, l'autorité norvégienne de protection des données, Datatilsynet, a également estimé que le transfert international de données à caractère personnel via Google Analytics violait le RGPD.

La DPA recommande aux sites web de chercher une alternative au service et dit s'attendre à une décision formelle concernant Google Analytics dans le courant de l'année 2023.

Comment Google rend-il les GA4 RGPD?

Google a exprimé son engagement à respecter les lois sur la protection de la vie privée telles que le RGPD et a détaillé la manière dont il met en œuvre cet engagement.

Ils ont également introduit et entièrement mis en œuvre Google Analytics 4, une approche analytique axée sur la protection de la vie privée qui a remplacé Universal Analytics précédemment disponible - les propriétés Universal Analytics 360 cesseront de traiter les nouvelles visites à partir du 1er octobre 2023.

J'ai résumé ici les pratiques de Google en matière de confidentialité :

1. Le RGPD impose une relation juridique entre le responsable du traitement et le sous-traitant. Google Analytics y pourvoit par le biais de ses conditions générales d'utilisation, qui expliquent les modalités de traitement des données et la relation entre le responsable du traitement et le sous-traitant.
2. Le RGPD impose des exigences strictes en matière de sécurité des données, que Google s'efforce de respecter grâce à des systèmes de protection des données de pointe et au maintien de certifications de sécurité internationalement reconnues.
3. Le RGPD stipule que les sous-traitants doivent aider les responsables du traitement à identifier et à signaler toute violation de données à l'autorité de contrôle compétente et à leurs utilisateurs. Google facilite cette tâche grâce à son programme de gestion des incidents, disponible 24 heures sur 24 et 7 jours sur 7.
4. Le RGPD exige que la protection de la vie privée soit prise en compte dès la conception des sites et des logiciels et que des études d'impact sur la protection des données soient réalisées. Google intègre ces deux concepts dans ses pratiques de confidentialité.
5. Le RGPD fait de la minimisation des données l'un de ses principes fondamentaux. Vous ne devez collecter que les données essentielles et ne les conserver que le temps nécessaire à l'objectif initial de leur collecte. Google Analytics se conforme à cette exigence de conservation des données en permettant aux propriétaires de sites web de contrôler la durée de stockage des données des utilisateurs.

Comment le mode "consentement" de Google fonctionne-t-il avec Google Analytics ?

En 2020, Google a introduit le mode de consentement Google pour permettre aux propriétaires de sites web de mieux contrôler leurs cookies publicitaires et analytiques en ce qui concerne les choix de consentement de l'utilisateur.

Pour accéder à toutes ses fonctionnalités, vous devez utiliser un plateforme de gestion du consentement compatible (CMP ) sur votre site Web, comme Termly- nous sommes officiellement un partenaire CMP de Google.

Voici comment cela fonctionne : lorsque les consommateurs visitent votre site web pour la première fois, une bannière de consentement leur demande s'ils ont lu et accepté votre politique de confidentialité et le site politique de cookies. Le choix de l'individu est ensuite communiqué à GCM par le biais de g-tags.

Si les utilisateurs acceptent et donnent leur consentement, les cookies d'analyse sont placés sur leurs navigateurs comme d'habitude. En revanche, s'ils refusent de donner leur consentement, les g-tags sont mis à jour et aucun cookie n'est placé sur leur navigateur. Au lieu de cela, GCM applique une technologie intelligente de cartographie des données d'IA pour éviter les lacunes dans vos données de conversion.

Consent Mode fonctionne actuellement avec les services Google suivants :

• Google Analytics
• Annonces Google
• Projecteur
• Conversion Linker

Comment Termly peut-il aider ?

Termly peut vous aider à utiliser Google Analytics et à vous conformer au RGPD en vous proposant nos outils vérifiés par des avocats, notamment :

• RGPD Générateur de politique de confidentialité
• Générateur de politique de cookies RGPD
• RGPD plateforme de gestion du consentement

Lorsqu'il est configuré de manière appropriée, notre CMP s'intègre de manière transparente au mode de consentement de Google, ce qui vous permet d'utiliser Google Analytics tout en respectant les choix de consentement de vos utilisateurs.

De plus, nos générateurs de politiques vous posent les questions appropriées pour garantir que les clauses et les détails adéquats figurent dans vos politiques de confidentialité et de cookies afin que vous vous conformiez pleinement au règlement.

Le plus beau ? Vous pouvez tout gérer en un seul endroit, à partir de votre tableau de bord Termly .

Nous prenons en charge les aspects complexes de la conformité en matière de protection de la vie privée afin que vous puissiez offrir à vos consommateurs une expérience en ligne sûre et conforme à la législation.

Google Analytics et RGPD FAQ

Ci-dessous, je réponds aux questions les plus fréquentes que Termly reçoit sur Google Analytics et la conformité au RGPD .

Résumé

Google Analytics est un outil de données essentiel pour les entreprises, mais l'utiliser de manière conforme au RGPD implique de prendre quelques mesures supplémentaires.

Les autorités de protection des données de l'UE/EEE débattent encore de la légalité des transferts internationaux de données concernant Google Analytics et de la question de savoir si GA4 anonymise de manière RGPD les adresses IP.

Au minimum, présentez à vos utilisateurs un document précis sur le respect de la vie privée et politique de cookies, expliquez votre utilisation du GA4 et demandez-leur leur consentement avant de placer des cookies analytiques sur leur navigateur, tout en veillant à ce qu'ils puissent facilement le retirer à tout moment.

Utiliser Termly's Générateur de politique de confidentialité et la solution de gestion des consentements de Termly pour vous aider à rester du bon côté du RGPD et de plusieurs autres lois importantes sur la confidentialité des données.

En savoir plus sur l'auteur

Écrit par Teodor Stanciu, CIPP/E, CIPM

Teo est un spécialiste de la protection des données et un délégué à la protection des données (DPD) expérimenté qui se passionne pour aider les entreprises à respecter leurs obligations en matière de protection des données. Il a plus de sept ans d'expérience en tant que DPD pour une organisation internationale active dans 50 pays et basée à Bruxelles, en Belgique. Teo est un Certified Information Privacy Professional/Europe (CIPP/E) et un Certified Information Privacy Manager (CIPM) de l'International Association of Privacy Professionals (IAPP).

En savoir plus sur l'auteur